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本 书 为 分 布 式 系统 的 管理 人 员 解 决 分 布 式 计算 安全 问题 提供 了 一 个 完整 的 、 合 理 的 
框架 。 全 书包 括 4 个 部 分 ， 共 25 个 章节 。 主 要 讲述 了 如 何 开发 更 加 安全 的 分 布 式 系统 体 
系 结构 和 方法 ; 构建 可 信 的 、 基 于 开放 式 系统 的 分 布 式 事务 处 理 系统 ; 评估 成 本 与 风 
险 ; 考虑 人 和 组 织 因素 ， 从 而 做 到 在 提高 安全 性 的 同时 把 对 人 和 过 程 的 影响 降 至 最 低 。 
本 书 探讨 了 分 布 式 系统 中 的 很 多 关键 风险 领域 ， 其 中 包括 网 络 、 操 作 系统 、 应 用 程序 、 
中 间 件 及 因特网 。 并 为 如 何 设计 和 实现 安全 策略 提供 了 有 价值 、 广 泛 的 建议 。 

本 书 适合 于 广大 的 计算 机 系统 安全 保障 人 员 阅 读 ， 可 以 作为 大 专 院 校 的 计算 机 教材 
或 辅助 教材 。 
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译 者 序 


本 书 是 一 本 关于 分 布 式 计算 安全 原理 的 权威 书籍 。 作 为 惠普 公司 的 专业 顾问 ， 两 位 作者 
对 分 布 式 系统 安全 所 涉及 到 的 概念 、 问 题 、 技 术 、 标 准 、 方 案 以 及 发 展 做 了 详尽 而 权威 的 探 
讨 。 全 书 的 组 织 符 合 “ 提 出 问题 、 分 析 问 题 、 解 决 问题 ” 的 一 般 思路 。 本 书 首先 是 一 本 安全 
技术 书籍 。 全 书 所 涉及 到 技术 全 都 是 与 分 布 式 计算 安全 问题 密切 相关 的 ， 这 包括 操作 系统 、 
网 络 、 应 用 程序 、 数 据 库 、 中 间 件 、 联 机 事务 处 理 等 领域 ;另外 作为 纵向 对 比 ， 本 书 始终 关 
注 分 布 式 环境 与 大 型 机 主机 环境 之 间 的 对 比 ， 从 而 能 够 让 读者 明白 在 分 布 式 环境 的 安全 问题 
中 ， 困 难 在 那里 ， 以 及 应 该 怎么 解决 。 这 对 于 不 同 领域 的 技术 人 员 来 说 是 非常 重要 的 知识 。 

书 中 提 到 ， 安 全 问题 并 不 仅仅 是 一 个 技术 问题 。 为 了 向 读者 灌输 解决 安全 问题 的 正确 思 
路 ， 本 书 始终 在 强调 安全 问题 超越 技术 问题 的 复杂 性 。 事 实 上 ， 目 前 在 国内 ， 安 全 事故 的 发 
生 和 安全 技术 的 缺乏 通常 都 是 因为 人 们 安全 意识 的 缺乏 所 致 。 本 书 的 重点 不 仅仅 放 在 技术 上 ， 
并 且 也 放 在 永远 存在 的 人 为 和 组 织 因素 上 。 技 术 会 改变 ， 但 是 人 们 对 安全 问题 的 重视 、 管 理 
部 门 对 解决 安全 问题 的 承诺 、 员 工 需要 具有 的 安全 意识 和 责任 意识 ， 却 一 直 是 真正 保证 公司 
计算 安全 的 决定 性 因素 。 因 此 ， 本 书 在 安全 问题 中 关于 人 和 组 织 的 解决 方案 提出 了 思路 和 步 
又 ， 它 能 够 使 管理 人 员 掌 握 如 何 开发 安全 政策 和 策略 ， 如 何 制定 安全 基础 ， 如 何 保持 安全 、 
审计 、 技 术 以 及 用 户 部 门 之 间 的 良好 关系 。 译 者 相信 ， 这 些 知识 要 比 确定 的 技术 知识 更 为 重 
要 ， 它 们 都 是 作者 在 多 年 经 验 的 基础 上 累积 的 实用 实践 经 验 。 这 正 是 本 书 对 IT 专家 和 管理 人 
员 的 意义 所 在 。 

本 书 可 以 说 是 一 本 迟到 的 好 书 。 不 可 避免 地 ， 书 中 有 些 知 识 点 在 今天 已 经 有 了 很 大 的 发 
展 ， 如 Java。 但 是 本 书 仍然 具有 权威 性 、 实 用 性 。 希 望 读者 能 够 在 技术 和 管理 两 个 方面 去 把 
握 本 书 ， 并 把 书 里 的 知识 同 具体 的 环境 结合 起 来 ， 从 而 建立 真正 安全 的 分 布 式 计算 环境 。 

本 书 由 李 如 豹 、 刚 冬 梅 组 织 翻译 ， 朱 冬 东 、 杨 启 奕 、 吕 俊 辉 等 同志 参与 完成 了 本 书 的 翻 
译 、 校 对 、 录 和 人 等 工作 。 由 于 译 者 水 平 有 限 ， 译 文中 不 当 之 处 在 所 难免 ， 敬 请 读者 批评 指正 。 


。 译 者 
2002 年 4 月 
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“有 些 东 西 ， 只 有 当 失 去 后 才 知 道 它 的 可 贵 。” 你 可 能 不 止 一 次 地 思索 过 这 人 句 话 ， 或 者 因 
别人 的 此 种 人 生 经 历 而 记 起 这 句 话 ， 才 会 认识 到 它 的 价值 ! 

想像 一 下 。 假 设 你 是 一 个 进口 旅行 饰品 的 销售 商 ， 经 过 种 种 努力 以 后 ， 你 的 事业 终于 走 
上 了 正轨 ， 并 且 燕 燕 日 上 。 你 建立 了 一 个 尽管 很 小 但 非常 忠诚 的 客户 基础 。 就 在 这 时 候 ， 你 
最 大 的 客户 却 打 来 了 一 个 电话 ， 并 生气 地 说 要 取消 所 有 的 订单 。 该 客户 说 他 刚 收 到 了 你 的 办 
事 处 发 给 他 的 一 封 信 ， 信 里 说 他 的 订单 已 经 推迟 了 ， 因 而 不 能 在 圣诞 节 前 及 时 交 货 。 你 试图 
解释 这 不 是 真 的 ， 你 从 来 没有 给 他 发 过 这 样 的 信 。 但 事情 已 经 发 生 。 因 此 你 迅速 地 检查 你 的 
计算 机 系统 ， 结 果 发 现 你 的 客户 信息 和 订单 文件 已 经 全 被 删除 了 。 电 话 铃声 又 响 了 ， 这 次 是 


另外 一 个 客户 ,但 说 的 是 一 样 的 信 。 很 快 ， 你 苦心 建立 的 客户 信任 就 一 下 子 全 没 了 。 你 的 业 


务 受 到 了 致命 的 威胁 。 导 致 这 一 切 的 原因 是 什么 呢 ? 可 能 就 是 一 个 员工 的 误 操作 ， 或 者 商业 
间谍 干 的 ! 无 论 哪 种 原因 ， 结 果 都 是 一 样 的 ， 即 业 务 陷 人 混乱 ， 你 个 人 信誉 受 损 。 

今天 的 技术 为 我 们 提供 了 很 多 激动 人 心 的 机 会 。 跟 原来 一 样 ， 我 们 需要 个 人 信息 和 业务 
信息 都 应 该 是 立即 可 访问 的 和 可 用 的 。 只 有 认识 到 需要 依靠 这 些 为 我 们 带 来 价值 的 信息 ， 我 
们 才能 真正 意识 到 它们 的 安全 性 是 多 么 的 重要 ! 

本 书 打开 了 计算 机 安全 领域 的 大 门 。 对 信息 安全 的 日 益 增长 的 需要 为 我 们 提出 了 很 多 业 
务 和 技术 问题 ， 而 Glen Bruce 和 Rob Dempsey 所 写 的 这 本 书 可 以 很 好 地 在 这 些 方 面 教育 读者 。 
并 且 ， 他 们 还 给 读者 提供 了 有 关 如 何 设计 和 实现 安全 策略 的 实用 和 广泛 的 建议 。IT 专 家 和 业 
务 专业 人 员 面 对 使 用 信息 技术 的 挑 成 ， 需 要 以 一 种 安全 简便 的 方式 处 理 业务 ， 对 他 们 来 说 ， 
本 书 是 一 本 极 好 的 读物 。 

阅读 本 书 并 不 保证 就 可 以 实现 一 个 安全 的 解决 方案 ， 但 是 本 书 为 你 提供 了 一 个 基础 ， 在 
此 基础 上 ,你 可 以 建立 和 改进 自己 的 特殊 策略 。 当 然 ， 你 仍然 可 以 什么 也 不 做 ,但 是 你 敢 冒 
这 个 风险 吗 ? 


Glenn Osaka 
惠普 公 司 业务 部 ， 总 经 理 
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对 于 许多 组 织 来 说 ， 保 护 企 业 计算 资源 不 被 滥用 是 一 个 非常 复杂 的 问题 。 从 最 小 的 私人 
企业 到 世界 上 最 大 的 金融 公司 ， 它 们 的 计算 系统 都 曾 遭 到 过 攻击 或 者 发 生 过 安全 问题 。 

计算 机 安全 事故 一 直 是 各 种 媒体 争 相 报导 的 重点 之 一 ， 它 们 提高 了 公众 对 计算 安全 问题 
的 意识 。 然 而 ， 管 理 部 门 对 该 问题 的 认识 以 及 解决 问题 的 承诺 ， 却 还 没有 得 到 提高 。 现 在 ， 
市 场 上 出 现 了 很 多 新 的 商业 安全 解决 方案 ， 这 些 方案 脱胎 于 国防 工业 的 先进 技术 。 公 司 花 费 
在 这 些 技术 上 的 经 费 大 幅 攀 升 。 : 

大 多 数组 织 都 已 经 认识 到 了 安全 问题 的 存在 ， 并 且 已 经 采取 了 积极 的 措施 以 解决 该 问题 。 
但 是 事故 和 攻击 却 仍旧 不 断 地 被 报导 ， 几 乎 是 每 天 都 有 。 不 幸 的 是 ， 计 算 机 业界 强烈 地 感到 
问题 会 变 得 越 来 越 严重 。 那 么 ， 为 什么 计算 安全 问题 没有 得 到 解决 呢 ? 

答案 在 于 如 下 事实 ， 即 计算 安全 是 一 个 涉及 到 很 多 复杂 方面 的 业务 问题 。 它 是 不 能 只 靠 
技术 上 的 解决 方案 来 解决 的 。 事 实 上 ， 不 协调 的 购买 和 使 用 各 种 技术 解决 方案 加 重 了 问题 的 
严重 性 。 本 书 的 目的 就 是 让 读者 能 够 了 解 计算 安全 问题 的 所 有 方面 。 它 将 引导 读者 从 各 种 问 
题 和 那些 显得 混乱 的 解决 方案 中 寻求 答案 。 

如 果 仔 细 分 析 ， 我 们 可 以 在 计算 机 安全 和 家 庭 安 全 之 间 发 现 很 多 类 似 之 处 。 家 庭 安全 的 
基本 预防 措施 就 是 锁 门 。 虽 然 这 一 招 并 不 能 让 房子 绝对 安全 ， 但 是 它 为 窃贼 带 来 困难 。 同 家 
庭 安全 一 样 ， 为 计算 资产 “ 锁 上 门 ”也 是 非常 重要 的 。 

我 们 需要 仔细 权衡 安全 问题 的 解决 途径 。 如 果 后 门 不 上 锁 的 话 ， 那 么 即使 在 前 门 上 装 一 
个 世界 上 最 好 的 锁 ， 也 是 无 济 于 事 的 一 一 只 锁 一 个 门 毫 无 意义 ! 

我 们 还 需要 权衡 购买 和 使 用 安全 解决 方案 所 付出 的 成 本 。 如 果 家 里 的 东西 全 加 起 来 也 只 
值 5 000 美 元 ， 那 么 谁 也 不 会 花 上 10 000 美 元 来 保护 家 的 安全 。 特 别 是 ， 如 果 邻 居 在 过 去 5 年 内 
从 没有 遇 到 过 任何 失窃 事情 ， 那 么 就 更 没有 必要 大 破 费 了 。 安 全 的 成 本 必须 要 同 预期 的 损失 
及 相关 的 风险 取得 一 致 。 

另外 ， 我 们 应 该 把 重点 放 在 最 有 可 能 的 安全 问题 上 。 小 偷 通 常 不 会 带 着 梯子 去 作案 ， 因 
此 我 们 应 该 把 钱 首先 花 在 为 低位 置 的 窗户 加 置 窗户 网 上 。 

不 幸 的 是 ， 绝 对 的 安全 是 不 能 只 靠 钱 来 买 的 。 如 果 人 们 没有 意识 到 自己 所 承担 的 责任 ， 
那么 再 好 的 技术 也 没有 用 。 如 果 在 你 不 在 家 的 时 候 你 的 孩子 没 锁 门 就 出 去 玩 了 ， 那 么 即使 你 
在 门 上 装 了 世界 上 再 坚固 的 锁 ， 也 毫 无 用 处 。 安 全 不 能 看 做 是 孤立 于 环境 的 。 家 庭 的 安全 是 
同 邻居 的 安全 直接 相关 的 。 不 能 顾此失彼 。 

分 布 式 客 户 机 -服务 器 技术 的 出 现 极 大 地 改变 了 许多 组 织 中 的 计算 环境 。 大 型 机 环境 中 的 
复杂 系统 具有 很 高 的 操作 可 信 性 。 大 型 机 安全 解决 方案 ,例如 IBM 和 Computer Associates 开 
发 的 那些 产品 ， 允 许 用 户 实施 强大 的 集中 式 控 制 。 然 而 ,分 布 式 客户 机 -服务 器 环境 的 安全 问 
题 就 复杂 多 了 。 与 大 型 机 不 同 ， 分 布 式 环境 中 的 控制 和 安全 功能 分 布 在 几 个 平台 上 上， 并 且 通 
常 不 受 任何 单独 处 理 器 的 控制 。 所 以 挑战 就 是 保证 分 布 式 控制 能 够 一 起 工作 以 完成 一 个 共同 
目标 。 
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我 们 将 明确 和 说 明 计算 机 安全 中 的 各 种 关键 问题 。 如 果 要 解决 计算 安全 的 总 体 业 务 问题 ， 
那么 这 些 问 题 必 须要 先 解决 。 这 些 关键 问题 包括 需要 对 用 户 的 安全 认证 和 对 用 户 操作 的 授权 。 
网 络 使 得 全 球 计 算 业 界 可 以 使 用 以 前 没有 过 的 方式 来 进行 相互 通信 和 合作 ， 但 是 它 也 使 得 公司 
网 络 和 计算 系统 可 以 为 外 部 人 员 所 访问 。 有 效 地 使 用 技术 解决 计算 安全 是 另 一 个 关键 问题 。 

说 明 计 算 安 全 所 涉及 到 的 技术 是 本 书 的 一 个 关键 重点 。 本 书 将 介绍 各 种 安全 技术 的 细节 。 
我 们 的 目的 并 不 是 简单 地 讨论 技术 ， 而 是 让 读者 能 够 掌握 如 何 使 用 技术 来 解决 关键 安全 问题 。 

当 一 个 认证 过 程 通过 网 络 通信 时 ， 如 何 信任 该 过 程 的 完整 性 ? 这 是 关键 问题 的 一 个 例子 。 
大 多 数 的 网 络 流量 ， 包 括 用 户 标识 和 认证 密码 在 内 ， 当 前 都 是 以 明文 形式 在 网 络 上 传输 的 。 
通过 监视 网 络 流量 ， 发 现 密码 并 使 用 它们 来 破坏 安全 性 是 可 能 的 。 

Kerberos 模 型 ( 委托 第 三 方 认 证 ) 可 用 来 解决 认证 过 程 安全 性 的 维护 问题 。“Kerberos” 
这 个 名 字 来 源 于 Cerberus 一 一 一 只 守卫 地 获 之 门 的 三 头 狗 ， 该 模型 为 进行 异 构 技术 中 的 认证 提 
供 了 一 个 方法 。Kerberos 假 设 网 络 是 不 可 信 的 ， 并 且 其 上 的 任何 流量 都 有 可 能 被 截获 。 
Kerberos 的 设计 宗旨 就 是 要 解决 这 种 威胁 。 我 们 将 在 介绍 OSF/DCE ( Open Software 
Foundation/Distributed Computing Environment， 开 放 软 件 基 金 会 的 分 布 式 计算 环境 ， 
Kerberos 的 一 种 实现 ) 时 详细 解释 这 种 认证 模型 。 了 解 了 Kerberos 的 脆弱 性 和 能 力 以 后 ， 读 者 
可 以 判断 OSF/DCE 是 如 何 有 效 地 解决 分 布 式 计算 安全 问题 的 。 

传统 上 ， 联 机 事务 处 理 (Online transaction processing，OLTP ) 是 为 基于 大 型 机 的 系统 或 
者 专门 的 事务 处 理 系统 而 开发 的 。 用 户 需要 大 型 机 具有 连 网 能 力 、 中 心 控制 以 及 强大 的 处 理 
能 力 ， 这 些 需 求 都 是 进行 事务 处 理 和 维护 共享 数据 库 控制 所 必需 的 。OLTP 系 统 处 理事 务 ， 收 
集 或 者 检查 业务 系统 的 信息 ， 并 把 变化 加 进 组 织 的 共享 数据 库 。 把 事务 迁移 到 分 布 式 服务 器 
和 桌面 系统 上 会 不 可 避免 地 带 来 安全 问题 ， 中 心 主机 式 OLTP 系 统 上 的 保护 措施 和 工具 不 能 用 
在 新 的 分 布 式 OLTP 系 统 上 。 若 要 有 效 地 实现 分 布 式 OLTP 系 统 ， 我 们 必须 首先 解决 系统 管理 
和 安全 挑战 。 

如 果 要 在 “开放 式 系统 ”平台 上 提供 事务 处 理 系统 ， 那 么 我 们 面临 两 个 需求 ， 第 一 个 是 
在 非 大 型 机 平台 上 提供 一 个 健壮 的 处 理 环 境 ， 同 时 还 要 保持 同 大 型 机 一 样 的 功能 和 能 力 ; 第 
二 个 是 提供 一 种 分 布 式 处 理 能 力 ， 从 而 使 事务 可 以 在 多 个 操作 平台 上 执行 功能 并 访问 数据 。 
Transarc 公 司 的 Encina 技 术 是 用 来 解决 UNIX 平 台 上 的 事务 处 理 环境 的 。 IBM 的 事务 监视 器 
CICS, 已 经 移植 到 了 IBM 和 惠普 的 UNIX 环 境 上 。 这 些 事务 监视 器 ， 当 结合 了 OSF 的 DCE 组 件 
并 启用 Encina 以 后 ， 可 以 提供 分 布 式 事务 处 理 能 力 。 通 过 DCE， 我 们 可 以 使 用 这 些 技术 来 提 
供 一 个 可 信和 的 事务 环境 。 

我 们 还 要 探讨 分 布 式 系统 上 的 集中 式 控 制 管理 。 使 用 高 级 网 络 和 系统 管理 技术 ， 可 以 确 
认 已 建立 安全 控制 并 仍旧 在 位 。 也 可 用 网 络 警报 来 提供 对 非法 行为 的 早期 指示 。 我 们 将 介绍 
动态 警报 技术 的 使 用 ， 并 且 为 实现 各 种 监测 机 制 提 供 建 议 。 

计算 安全 问题 的 解决 不 能 只 依靠 技术 。 我 们 将 花 大 量 的 篇 幅 来 讨论 人 和 组 织 所 起 的 作用 。 
我 们 要 全 面 分 析 计 算 安全 策略 的 形成 、 它 所 覆盖 的 区 域 ， 以 及 如 何在 策略 与 用 户 之 间 进 行 最 
好 的 通信 。 安 全 策略 概括 了 组 织 在 安全 方面 的 决策 ， 并 且 提 供 了 一 个 基础 一 一 组 织 可 以 在 该 
基础 之 上 建立 安全 程序 。 为 了 认识 这 些 重要 行为 的 好 处 ， 管理 部 门 对 安全 意识 程序 的 承诺 是 
必需 的 。 

体系 结构 是 一 种 描述 各 种 组 件 功能 的 结构 化 方法 。 它 以 一 种 容易 理解 的 方式 描述 了 复杂 
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组 件 之 间 的 关系 。 我 们 也 可 以 把 这 种 方法 用 在 计算 安全 领域 ， 从 而 更 好 地 描述 各 种 组 件 及 其 
相互 关系 。 安 全 体系 结构 包括 了 各 种 元 素 ， 这 些 元 素 能 够 保证 信息 的 机 密 性 ， 并 且 保 证 所 有 
对 计算 资源 的 访问 都 是 经 过 授权 和 认证 的 。 体 系 结构 的 总 体 目标 是 可 以 信任 分 布 式 环境 。 我 
们 需要 能 够 信任 所 有 的 地 方 ， 或 者 具有 补偿 控制 一 一 用 户 访问 各 种 系统 而 不 是 只 把 信任 置 于 
信息 和 工具 所 驻 留 的 地 方 。 安 全 体系 结构 是 由 很 多 构建 部 件 组 成 的 ， 这 些 组 件 一 起 定义 了 用 
于 全 面 解 决 方案 的 框架 。 我 们 将 探讨 一 个 安全 体系 结构 ， 并 概述 如 何 把 体系 结构 用 做 企业 安 
全 解决 方案 的 基础 。 

审计 是 计算 安全 中 的 另 一 个 非 技 术 领 域 。 我 们 将 介绍 计算 审计 的 目的 、 重 要 的 原因 以 及 
如 何 为 审计 检查 做 最 好 的 准备 。 我 们 还 要 探讨 审计 部 门 同 公司 其 他 部 门 之 间 的 关系 ， 并 提供 
能 够 建立 良好 关系 的 建议 。 

使 用 一 个 结构 化 的 方法 对 于 解决 计算 安全 问题 来 说 是 非常 重要 的 。 安 全 策略 是 组 织 采取 
的 一 系列 具体 步骤 一 一 通过 这 些 步骤 ， 组 织 可 以 把 现 有 的 安全 水 平 从 一 个 基础 级 提高 到 一 个 
更 安全 的 级 别 。 策 略 方法 会 让 一 个 组 织 通过 一 个 已 组 织 好 的 过 程 ， 评 估 当 前 计算 环境 所 处 的 
位 置 ， 定 义 组 织 希 望 处 于 的 位 置 ， 并 计划 达到 预期 位 置 所 需 的 步骤 。 使 用 一 个 已 定义 的 方法 ， 
可 以 保证 所 有 的 窗户 和 们 都 关 好 了 。 当 修建 房子 时 ， 我 们 就 应 该 考虑 使 用 安全 门窗 。 这 种 方 
法 已 经 成 功 地 用 来 解决 了 各 种 组 织 中 的 很 多 问题 。 

本 书 适用 于 任何 对 计算 安全 领域 感 兴趣 的 读者 。 通 过 本 书 ， 系 统管 理 员 和 系统 分 析 员 能 
够 了 解 一 些 核心 技术 的 知识 ， 例 如 Kerberos 和 公开 /私有 密 钥 加 密 。 应 用 开发 人 员 和 体系 结构 
设计 员 通 过 本 书 可 以 了 解 应 该 如 何 把 多 个 安全 组 件 集成 进 系统 设计 中 。 安 全 必须 要 被 设计 进 
而 不 是 添加 到 系统 中 。 

对 于 那些 负责 安全 管理 或 者 审计 分 布 式 计算 应 用 的 人 来 说 ， 本 书 将 提供 对 客户 机 -服务 器 
计算 中 的 核心 安全 问题 所 做 的 深入 探讨 。 本 书 也 将 对 那些 关心 计算 安全 问题 的 高 级 管理 人 员 
指引 一 个 解决 问题 的 方法 。 

计算 安全 不 但 是 一 个 技术 问题 ， 而 且 还 是 一 个 业务 问题 。 它 是 一 个 需要 解决 多 方面 问题 
的 复杂 问题 。 各 种 复杂 的 技术 可 用 于 解决 不 同安 全 问题 。 然 而 ， 组 织 必须 以 一 种 有 计划 的 并 
且 良 好 协调 的 方式 来 使 用 这 些 技术 。 另 外 ， 组 织 需要 开发 一 个 安全 策略 和 体系 结构 。 本 书 能 
够 让 你 更 加 熟悉 计算 安全 问题 以 及 对 它们 的 解决 方案 。 我 们 希望 ， 当 你 在 通 往 分 布 式 客户 机 - 
服务 器 计算 之 路 上 已 经 走 了 很 远 的 时 候 ， 你 不 会 再 说 “该 不 会 没 锁 门 吧 !“ 

本 书 意 在 让 读者 能 够 明白 在 分 布 式 计算 中 获得 安全 性 会 有 哪些 挑战 ， 其 目的 是 描述 整体 
问题 ， 并 提供 一 些 关于 如 何 解决 问题 的 思路 。 我 们 希望 把 重点 放 在 一 些 能 够 让 读者 明白 对 付 


这 些 挑战 需要 进行 工作 的 领域 上 ， 而 不 是 提供 一 个 有 关 计 算 安 全 的 百科 全 书 。 因 此 ， 我 们 对 . 


所 选择 的 技术 专题 的 讨论 是 非常 有 限 的 。 

例如 ， 我 们 没有 对 个 人 计算 机 在 分 布 式 系统 中 的 作用 进行 广泛 的 讨论 。 这 是 因为 ， 运 行 
DOS 和 Windows 的 个 人 计算 机 几乎 没有 什么 安全 机 制 。 解 决 该 问题 的 方案 是 在 个 人 计算 机 上 添 
加 第 三 方 安全 软件 或 者 硬件 产品 。 我 们 的 总 体 目标 是 说 明 分 布 式 计算 安全 所 带 来 的 业务 挑战 ， 
而 讨论 各 种 厂商 的 产品 对 于 该 目标 来 说 并 没有 什么 用 处 。 我 们 的 讨论 重点 是 分 布 式 客户 机 系 
统 ( 包括 个 人 计算 机 在 内 ) 所 面临 的 问题 ， 而 不 是 个 人 计算 机 本 身 。 

同样 ， 我 们 没有 过 多 地 描述 有 关 网 络 和 系统 远程 访问 的 解决 方案 。 远 程 访 问 带 来 了 新 的 
安全 挑战 ， 但 是 市 场 上 有 很 多 该 问题 的 解决 方案 。 讨 论 这 些 解决 方案 无 助 于 对 关键 问题 的 探 
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讨 ， 即 如 何在 不 可 信 的 网 络 上 认证 个 体 ? 
我 们 知道 ， 尽 管 有 许多 人 可 能 会 通读 全 书 ， 但 是 还 有 一 些 人 可 能 只 对 本 书 的 某 些 章节 感 
兴趣 。 为 此 ， 我 们 使 用 了 一 个 如 下 所 示 的 指示 图 ， 它 们 可 以 帮助 读者 快速 找到 特定 章节 的 位 





我 们 希望 这 种 布局 能 够 为 所 有 读者 都 起 到 帮助 作用 。 
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第 1] 章 计算 安全 一 一 一 个 业务 问题 


第 2 章 分 布 式 安 全 的 挑战 


不 管 处 理 什 么 问题 ， 第 一 步 总 是 要 先 明确 所 存在 的 问题 。 在 本 书 的 前 两 章 里 ， 我 们 将 详 
细 阔 述 分 布 式 计算 安全 所 包括 的 问题 以 及 推动 其 发 展 的 原因 。 你 会 看 到 计算 安全 是 一 个 非 
常 复 杂 的 问题 ， 它 涉及 到 很 多 方面 ， 其 中 包括 技术 因素 、 不 确定 的 管理 承诺 以 及 用 户 意识 的 
缺乏 等 。 由 于 问题 的 性 质 ， 计 算 安全 是 不 能 只 靠 技术 来 解决 的 。 事 实 上 ， 涉 及 过 多 的 技术 反 
而 增加 了 问题 的 难度 。 鉴 于 它 的 复杂 程度 ， 解 决 该 问题 需要 有 一 个 战略 上 的 方法 。 

计算 安全 问题 和 家 庭 安全 问题 有 一 些 相似 之 处 。 大 门 是 进入 一 个 家 庭 的 正道 ， 因 此 对 它 
们 需要 多 加 注意 。 门 并 不 是 非法 进入 一 个 家 庭 仅 有 的 路 径 。 例 如 ， 要 是 没有 关上 窗户 的 话 ， 
则 可 以 从 和 窗户 进入 。 斋 碎 窗 户 玻璃 、 拉 开 插 销 ， 这 对 人 侵 者 是 轻而易举 的 。 所 以 如 果 窗 户 没 
关 好 的 话 ， 那 么 即使 是 世界 上 最 好 的 门 锁 也 保护 不 了 你 的 财产 。 同 家 庭 安全 一 样 ， 分 布 式 计 
算 安全 也 不 是 “ 锁 上 前 门 ”就 万 事 大 吉 。 它 具有 很 多 因素 ， 这 包括 对 系统 管理 的 策略 、 用 户 
意识 、 重 视 以 及 技术 上 的 正确 实现 。 

在 第 1 章 中 ， 将 对 计算 安全 问题 进行 总 体 上 的 阑 述 。 我 们 将 着 重 关注 分 布 式 计 算 环 境 ， 并 
且 看 一 下 分 布 式 计算 是 如 何 增加 计算 安全 问题 复杂 程度 的 。 我 们 将 对 该 问题 的 原因 和 业务 驱 
动因 素 进 行 分 析 。 第 2 章 会 激发 你 的 兴趣 ， 它 将 介绍 一 些 真实 的 安全 事故 。 当 涉及 到 分 布 式 环 
境 的 时 候 ， 我 们 会 研究 更 具体 的 安全 问题 。 本 书 的 起 始 部 分 着 眼 于 介绍 同安 全 问题 相关 的 因 
素 。 在 后 面 的 各 章 中 ， 我 们 会 阐述 如 何 采取 具体 的 技术 和 行动 来 解决 分 布 式 计算 中 的 安全 问 
题 。 
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理想 世界 技术 羡慕 


安全 和 质量 把 宗教 当成 安全 
业务 环境 公司 承诺 

分 布 式 计算 是 容易 的 选择 和 技术 
客户 或 者 公众 意识 


最 近 几 年 来 ， 任 何 组 织 内 部 所 安装 的 计算 机 系统 的 数目 正在 显著 增长 。 安 装 和 使 用 计算 
机 应 用 相对 很 容易 ， 这 促使 人 们 把 计算 机 系统 连接 在 一 起 并 对 他 们 的 工作 进行 分 布 处 理 或 者 
共享 。 这 些 分 布 式 系统 可 以 更 好 利用 现在 可 用 的 处 理 能 力 。 然 而 ， 这 些 系统 能 够 保持 机 密 数 
据 的 安全 吗 ? 所 有 的 数据 都 保持 同步 吗 ?你 信任 这 些 计 算 系 统 所 产生 的 结果 吗 ? 你 相信 一 个 
分 布 式 系统 能 够 安全 地 为 你 提供 所 需要 的 一 切 东 西 吗 ? 

曾经 有 一段 时 间 ， 所 有 的 数据 及 其 相关 的 处 理应 用 都 只 在 一 个 地 方 可 用 ， 如 一 台 计算 机 。 
任何 人 都 能 自豪 地 指 着 一 台 计 算 机 说 “这 就 是 神奇 之 所 在 "。 系 统 的 保护 是 非常 简单 直接 的 : 
首先 找 一 个 绝对 安全 的 环境 ， 然 后 把 系统 上 需要 安全 保护 的 任何 东西 放 到 该 环境 中 、 或 者 把 系 
统 放 到 一 个 完全 安全 的 环境 中 。 在 今天 的 处 理 环境 中 ， 通 过 使 用 几 个 不 同 级 别 的 计算 机 ， 其 中 
每 个 包含 一 部 分 数据 和 应 用 ， 就 可 以 使 前 面 的 神奇 随处 可 见 。 对 于 哪里 需要 保护 、 需 要 什么 以 
及 如 何 实现 等 问题 ， 是 很 容易 失去 线索 的 。 数 据 或 者 处 理应 用 实际 所 在 的 位 置 可 能 并 不 是 很 明 
显 。 对 于 只 存在 一 家 银行 中 的 钱 和 分 散在 自动 柜员 机 网 上 的 钱 来 说 ， 显 然 前 者 更 安全 。 

现在 的 家 庭 计算 机 所 具有 的 处 理 能 力 要 比 几 年 前 一 个 一 般 的 百 万 美元 级 保险 公司 用 来 管 
理 其 全 部 业务 的 计算 机 所 具有 的 处 理 能 力 还 要 强 。 处 理 器 的 能 力 在 持续 增长 ， 同 时 这 种 处 理 
能 力 的 单位 成 本 在 逐渐 下 降 。 廉 价 处 理 能 力 的 快速 膨胀 使 得 操纵 和 处 理 不 断 增 大 的 数据 量 并 
且 及 时 提供 结果 成 为 可 能 。 利 用 唾 手 可 得 的 廉价 计算 能 力 是 非常 有 意义 的 。 随 着 局 域 网 和 其 
他 网 络 技术 的 快速 发 展 ， 这 种 处 理 能 力 可 以 成 为 分 布 式 的 并 且 由 多 人 所 共享 。 但 是 ， 如 果 没 
有 足够 的 处 理 和 控制 ， 那 么 这 种 数据 和 处 理 的 分 布 化 可 能 会 导致 更 多 难以 解决 的 问题 。 在 本 
章 中 ， 我 们 将 看 一 下 什么 是 分 布 式 系统 ， 并 且 讲 述 一 些 同时 带 来 机 会 和 问题 的 驱动 因素 。 
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理想 世界 

计算 机 是 一 种 非常 灵活 的 工具 ， 它 几乎 能 够 进行 你 通知 它 的 任何 工作 ， 前 提 是 必须 使 用 
一 种 计算 机 能 够 理解 的 方式 。 理 想 的 计算 机 系统 能 够 为 你 做 什么 ? 它 能 提供 对 任何 所 需 数据 
的 访问 ， 并 且 遵 照 所 要 求 的 格式 。 对 数据 库 的 任何 更 新 都 将 立即 可 用 。 对 于 任何 应 用 来 说 ， 
不 管 位 于 何 处 都 能 够 执行 。 系 统 总 是 可 用 的 ， 并 且 总 是 能 够 提供 即时 响应 。 可 以 信赖 数据 的 
安全 性 和 完整 性 ， 并 且 对 数据 的 任何 更 新 都 会 成 功 完成 。 如 果 出 现 了 一 个 系统 问题 ， 并 且 系 
统 变 得 不 可 用 ， 那 么 系统 会 立即 恢复 并 且 数 据 会 还 原 到 故障 出 现 前 的 那 一 时 刻 ， 从 而 使 得 系 
统 重新 变 为 可 用 。 如 果 你 所 需 的 全 部 数据 和 应 用 都 位 于 自己 的 机 器 上 ， 那 么 前 面 的 各 种 理想 
是 可 能 的 。 如 果 数 据 和 (或 ) 应 用 程序 分 布 在 两 个 或 多 个 计算 机 上 ， 那 么 若 要 达到 这 种 理想 
状态 就 变 得 非常 复杂 了 。 

分 布 式 计算 同 汽车 类 似 的 原因 

你 知道 若 要 让 家 庭 汽车 始终 保持 最 佳 形 态 ， 那 么 需要 付出 什么 成 本 吗 ? 不 久 前 你 可 能 刚 
把 汽车 开 到 街角 的 服务 站 ， 在 那里 你 的 汽车 受到 了 和 仔细 的 维护 ， 这 包括 修理 扁 了 的 轮胎 、 更 
换 刹 车 、 安 装 新 电池 、 修 理 引擎 、 校 直方 向 盘 、 更 换 机 油 以 及 进行 其 他 任何 所 需 的 修理 工作 。 
然而 今天 ， 街 角 的 服务 站 在 什么 地 方 ? 现在 有 专门 的 “润滑 油 商 店 ”能 够 在 10 分 钟 内 完成 汽 
油 更 换 ， 并 且 也 有 专门 的 发 动机 修理 处 ， 以 及 消声器 、 刹 车 以 及 减 震 专 业 人 员 。 对 于 汽车 维 
护 的 每 一 方面 ， 现 在 几乎 都 有 专门 的 商店 。 在 今天 ， 街 角 服务 站 只 卖 汽 油 、 彩 票 以 及 一 些 软 
饮料 。 全 能 服务 站 几乎 已 经 全 部 消失 了 。 

不 管 在 什么 时 候 什 么 地 方 需要 进行 汽车 维护 ， 作 为 汽车 的 主人 ， 你 有 责任 保证 所 有 的 维 
护 工作 都 会 完成 ， 然 而 现在 这 些 工 作 已 经 分 散 到 几 家 专业 服务 处 了 。 当 购买 一 辆 新 车 的 时 候 ， 
通常 你 会 得 到 一 份 保险 以 及 同 销售 商 的 一 份 服务 合约 。 只 要 销售 商 提 供 服务 ， 不 必 担心 你 的 
汽车 会 怎么 奔驰 。 你 可 以 相信 : 一 切 功能 正常 ， 汽 车 会 把 你 送 到 任何 想 去 的 地 方 。 然 而 ， 一 
旦 保险 合约 过 期 了 ， 那 么 销售 商 的 继续 服务 可 能 会 非常 昂贵 。 你 可 以 选择 一 个 相对 便宜 些 的 
途径 ， 把 汽车 送 到 专门 的 商店 进行 维护 。 这 样 问题 接 既 而 至 : 需要 跟踪 和 管理 所 有 的 服务 需 
求 从 而 使 得 你 的 汽车 总 是 可 靠 的 。 ， 

把 数据 和 处 理 分 布 到 多 台 计 算 机 上 同 汽车 维护 非常 类 似 。 单 厂商 大 型 机 环境 同 从 销售 商 
处 购买 新 车 类 似 。 在 这 种 情况 下 ， 所 有 的 服务 和 保证 都 来 自 同一 个 地 方 。 如 果 分 布 式 系统 的 
所 有 组 件 也 来 自 单一 厂商 ， 那 么 这 也 类 似 于 从 销售 商 处 购买 新 车 。 如 果 系 统 组 件 来 自 于 许多 
不 同 的 厂商 ， 那 么 这 类 似 于 使 用 专门 的 商店 来 维护 汽车 。 你 需要 保证 全 部 所 需 的 组 件 都 到 位 
并 能 一 起 协同 工作 。 

图 1-1 说 明了 集中 式 或 者 大 型 主机 系统 操作 同 操作 来 自 一 个 提供 商 的 或 来 自 多 个 提供 商 的 
分 布 式 系统 之 间 的 区 别 。 在 分 布 式 多 厂商 系统 中 ， 安 装 技术 基础 的 成 本 更 低 并 且 灵 活性 更 好 ， 
但 是 其 成 本 是 提高 了 复杂 性 并 降低 了 管理 分 布 式 系统 的 能 力 。 来 自 单一 提供 商 的 分 布 式 系统 
则 位 于 全 分 布 式 系统 的 成 本 和 灵活 性 和 集中 式 (或 者 大 型 主机 ) 系统 的 复杂 性 之 间 。 在 许多 
情况 下 ， 如 果 考虑 所 有 的 处 理 和 管理 因素 ， 那 么 分 布 式 系统 的 成 本 并 不 会 更 低 。 

回 到 汽车 例子 中 。 如 果 使 用 销售 商 维护 方案 ， 那 么 成 本 可 能 会 更 大 ， 但 是 不 用 担心 维护 
时 间 安 排 以 及 维护 工作 。 如 果 让 专业 维修 商店 来 维护 汽车 ， 那 么 会 有 更 多 的 选择 ， 并 且 会 得 
到 互相 竞争 的 价格 : 但 是 可 能 需要 奔波 于 很 多 地 方才 能 完成 一 次 维护 。 也 可 以 选择 自己 来 做 
一 切 工作 ,但 是 需要 掌握 复杂 的 汽车 技术 。 如 果 你 是 一 个 熟练 的 机 修 师 并 且 打 造 了 一 辆 高 度 
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自制 的 汽车 ， 那 么 很 有 可 能 你 是 惟一 一 个 能 够 维护 和 改进 它 的 人 。 
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大 型 主机 系统 单 厂商 分 布 式 系统 ”多 厂商 分 布 式 系统 


图 1-1 大 型 主机 与 分 布 式 系 统 


对 于 个 人 计算 机 来 说 ， 电 子 表格 程序 的 使 用 可 以 说 是 最 有 价值 的 创新 之 一 。 使 用 电子 表 
格 程序 ， 可 以 立即 做 出 你 的 年 度 部 门 财政 预算 来 。 这 些 部 门 预算 可 以 汇总 在 一 起 生成 分 公司 
预算 ， 然 后 所 有 分 公司 预算 可 以 汇总 成 总 公司 预算 。 然 而 ， 用 于 产生 公司 预算 的 数据 和 处 理 
可 能 分 布 在 几 个 不 同 的 地 方 以 及 不 同 的 计算 机 上 。 当 为 了 满足 公司 目标 而 必须 对 部 门 预算 进 
行 修改 的 时 候 ， 处 理 过 程 会 发 生 什 么 情况 呢 ? 你 会 被 通知 ; 削 尖 铅笔 ， 重 新 填写 你 的 预算 ， 
然后 重新 提交 新 的 预算 单 。 

上 述 情况 必须 使 用 协调 机 制 来 保证 当前 所 有 的 预算 信息 都 为 下 一 个 预算 单 所 使 用 并 且 保 
证 机 密 性 。 产 生 公司 预算 的 主要 工作 是 数据 的 协调 而 不 是 数据 的 产生 。 如 果 使 用 了 一 个 集成 
的 预算 软件 包 或 者 一 个 分 布 式 数据 库 ， 那 么 上 面 的 工作 大 部 分 可 以 自动 完成 。 如 果 该 过 程 不 
是 自动 的 ,那么 你 可 能 会 为 确定 是 不 是 包括 了 最 新 的 电子 表格 文件 或 者 是 不 是 使 用 了 正确 的 
磁盘 而 头痛 ， 并 且 可 能 还 会 有 很 多 人 会 为 此 饱 受 折磨 。 如 果 产 生 公司 预算 所 需 的 数据 和 过 程 
管理 良好 ,那么 你 可 以 相信 公司 预算 的 准确 性 。 

分 布 式 计算 的 概念 

对 于 不 同 的 人 来 说 ， 分 布 式 计算 可 能 意味 着 不 同 的 事情 。 对 某 些 人 来 说 ， 它 意味 着 客户 
机 _ 服 务 器 ， 对 于 另 一 些 人 ， 它 意味 着 协作 处 理 ; 而 对 于 其 他 的 人 ， 它 还 可 能 意味 着 使 用 分 布 
式 数据 库 。 我 们 可 能 需要 一 个 更 详细 的 解释 和 定义 ， 从 而 保证 人 们 会 对 分 布 式 计算 系统 有 一 
个 共同 的 见解 。 当 引用 一 个 分 布 式 计算 系统 的 时 候 ， 每 个 用 户 应 该 能 够 看 到 同一 件 事物 。 它 
应 该 同人 们 看 一 辆 汽车 类 似 ， 大 家 会 看 到 同样 的 事物 ; 而 不 是 像 艺术 品 那样 需要 分 开 解释 。 
几乎 每 个 人 都 知道 一 辆 汽车 通常 看 起 来 是 什么 样子 并 且 是 用 来 干什么 的 。 但 是 对 于 艺术 品 ， 
人 们 可 能 会 有 多 种 评论 。 一 个 一 般 的 计算 机 处 理应 用 可 以 分 成 多 个 组 件 ， 其 中 每 个 组 件 负责 
处 理 过 程 的 不 同方 面 。 在 这 种 情况 下 ， 我 们 假设 计算 机 处 理 过 程 是 一 个 人 通过 键盘 或 者 其 他 
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输入 设备 启动 的 。 图 1-2 说 明了 一 个 一 般 的 计算 处 理 的 各 个 组 件 。 


终端 用 户 终端 用 户 


图 1-2 处 理 过 程 组 件 


每 个 组 件 可 以 是 一 个 独立 的 单元 ， 也 可 以 聚合 成 一 个 处 理 单元 ， 并 且 它 们 可 以 通过 网 络 
连接 同 其 他 组 件 进行 通信 。 这 些 组 件 可 以 通过 多 种 方式 来 隔离 和 组 合 ， 而 这 可 以 使 用 分 布 式 
计算 模型 来 描述 。 图 1-3 说 明了 这 些 组 件 的 一 些 常见 组 合 情 况 。 如 果 终 端 用 户 界面 、 应 用 程序 、 
数据 管理 以 及 数据 都 包含 在 一 个 处 理 器 内 ， 那 么 我 们 可 以 使 用 通常 的 中 心 主机 处 理 模 型 。 使 
用 个 人 电脑 (PC ) 你 可 以 修改 该 模型 来 提供 终端 用 户 界面 ， 然 后 通过 该 主机 来 提供 应 用 程序 、 
数据 管理 以 及 数据 。 该 模型 称 做 远程 表示 ( remote presentation )。 

如 果 把 应 用 程序 移动 到 本 地 PC 上 并 且 在 一 个 主机 计算 机 上 维护 数据 ， 那 么 这 通常 就 称 做 
是 客户 机 -服务 器 计算 。 如 果 把 应 用 程序 分 成 多 个 运行 在 主机 和 本 地 PC 上 的 组 件 ， 那 么 这 就 
是 协作 处 理 。 如 果 本 地 PC 上 的 应 用 程序 也 具有 一 个 能 向 主机 数据 库 请 求 服务 的 数据 管理 器 ， 
那么 这 就 是 分 布 式 数据 库 。 如 果 所 有 的 组 件 分 布 到 多 个 不 同 的 处 理 器 上 ， 那 么 这 就 是 完全 分 
布 式 系统 一 一 除非 实现 了 大 量 的 管理 过 程 ， 否 则 它 极 有 可 能 是 非常 混乱 的 。 

我 们 对 系统 的 定义 是 ， 由 多 个 互相 连接 的 或 者 相关 的 不 同 元 素 为 执行 一 个 由 单个 元 素 所 
不 能 执行 的 功能 而 组 成 的 集合 。 一 个 分 布 式 计算 系统 是 由 系统 元 素 所 组 成 的 ， 这 些 元 素 分 布 
在 通过 网 络 互 相连 接 起 来 的 不 同 处 理 平台 上 。 分 布 式 计算 系统 所 需 的 性 质 之 一 是 透明 性 ， 这 
是 指 为 了 让 分 布 式 环境 中 的 系统 元 素 能 够 按照 同 单 主机 环境 中 一 样 的 方式 来 交互 和 操作 的 一 
种 能 力 。 如 果 要 让 不 同系 统 组 件 之 间 的 交互 在 多 主机 分 布 式 环境 中 与 在 单 系 统 环境 中 保持 一 
致 ， 那 么 透明 性 是 必需 的 。 

客户 机 -服务 器 的 概念 

有 很 多 术语 看 起 来 抓 住 了 信息 系统 (information system，IS ) 行业 的 想像 力 , 但 是 看 起 
来 又 有 多 种 意义 (这 取决 于 谁 在 下 定义 )。 它 的 定义 范围 从 简单 的 PC 网 络 连接 到 精心 制作 的 多 
级 别 多 地 点 应 用 程序 和 数据 集成 。 在 最 简单 的 形式 中 ， 服 务 器 是 一 种 或 多 种 资源 的 管理 者 ， 
而 客户 机 是 服务 器 资源 的 用 户 。 通 常客 户 机 也 看 做 是 可 编程 的 工作 站 ， 但 这 不 是 一 个 限制 定 
义 。 在 简单 的 术语 中 ， 客 户 机 -服务 器 可 看 做 是 分 布 式 计算 的 一 种 实现 ， 数 据 和 应 用 程序 驻 贸 
于 服务 器 中 ， 而 客户 机 负责 提供 终端 用 户 界面 。 不 幸 的 是 ， 一 个 简单 的 定义 通常 意味 着 术语 
客户 机 -服务 器 可 使 用 到 几乎 任何 牵扯 到 多 个 计算 机 的 行为 中 。 当 一 个 客户 机 -服务 器 系统 看 
做 是 一 种 最 新 技术 并 且 用 做 一 个 卖点 的 时 候 ， 这 一 点 特别 正确 。 对 于 解决 安全 问题 的 目的 来 
说 ， 客 户 机 -服务 器 将 会 做 为 分 布 式 计算 的 一 种 实现 来 对 待 。 在 本 书 中 ， 当 需要 时 ， 同 客户 
机 -服务 器 实现 相关 的 内 容 会 被 指出 来 。 

在 大 型 处 理 系统 中 ， 安 全 是 一 个 相对 简单 的 问题 。 在 这 种 系统 中 ， 所 有 的 处 理 都 是 在 一 
个 中 央 计 算 中 心 上 完成 的 。 你 所 需要 做 的 就 是 在 这 个 中 心计 算 机 周围 挖 上 一 条 护城河 并 且 只 
建造 一 个 吊桥 。 任 何 欲 进入 的 人 都 会 一 视 同仁 ， 出 示 相 应 的 许可 证 。 这 样 只 和 需要 一 组 可 以 识 
别 进入 者 的 守卫 即 可 。 当 未 经 授权 的 行为 发 生 时 ， 出 现 什么 情况 是 很 明显 的 。 现 在 有 许多 计 
算 机 链接 到 了 吊桥 上 。 我 们 有 许多 护城河 吗 ? 谁 负责 维护 护城河 ? 如 何 保证 所 有 的 护城河 都 
是 同一 大 小 并 能 进行 同一 工作 ? 
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安全 和 质量 

安全 在 今天 的 业务 系统 中 不 仅仅 是 信息 在 技术 层面 上 的 保护 ， 并 且 自 动 业务 的 每 一 个 方 
面 也 必须 考虑 和 包括 。 质 量程 序 近来 变 得 非常 流行 ， 它 使 得 公司 可 以 提高 他 们 的 产品 及 其 开 
发 过 程 的 质量 ， 从 而 保持 或 提高 公司 在 市 场 上 的 位 置 。 作 为 向 其 客户 (或 者 在 大 的 方面 说 向 
全 世界 ) 做 出 质量 保证 的 方式 之 一 ， 许 多 公司 都 已 经 实现 了 那些 广泛 接受 的 标准 ， 如 ISO 
9000 系 列 等 。 成 功 的 公司 质量 程序 已 经 从 起 始 于 上 层 决 策 者 的 公司 承诺 中 产生 。 

我 们 相信 计算 安全 同 质量 一 样 ， 也 必须 被 公司 接纳 并 且 要 包括 在 业务 操作 的 各 个 方面 。 
客户 和 公司 要 评估 他 们 的 提供 商 和 其 他 业务 关系 对 安全 标准 的 承诺 和 实现 情况 。 如 果 你 认为 
一 台 ATM (automated teller machine， 自 动 柜员 机 ) 或 者 它 所 连接 的 网 络 所 提供 的 安全 性 没有 
另 一 台 ATM 所 提供 的 安全 性 高 ， 那 么 你 可 能 不 会 使 用 前 者 。 

比较 一 家 公司 同 另 一 家 公司 的 操作 需要 安全 标准 。 公 司 间 在 线 事务 处 理 ( 电子 数据 交换 
和 电子 商务 ) 的 实现 需要 合适 的 标准 。 对 于 一 个 组 织 来 说 ， 大 型 业务 合同 的 签订 已 经 开始 取 
决 于 交付 和 操作 一 个 安全 计算 方案 的 能 力 。 你 可 能 必须 证 明 它 有 多 么 安全 。 安 全 的 正确 实现 
可 能 是 一 个 有 竞争 力 的 优势 ， 而 缺乏 足够 的 安全 一 定 是 一 个 竞争 力 的 劣势 。 


1.1 业务 推动 


是 什么 真正 推动 了 对 安全 的 需要 ? 对 我 们 的 工作 来 说 ， 下 面 这 个 事实 是 非常 明显 的 ， 即 安 
全 计算 环境 是 业务 问题 而 不 是 技术 问题 。 现 在 有 大 量 可 用 的 技术 处 理 方案 ,其 至 更 粮 的 是 ， 有 
大 量 的 基于 技术 的 标准 。 问 题 不 在 于 应 用 什么 技术 ， 而 是 在 于 应 该 把 技术 应 用 到 什么 上 以 及 如 
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何 应 用 。 太 多 的 技术 以 及 太 多 的 标准 ， 但 缺乏 计划 ， 也 缺乏 管理 ， 这 会 带 来 安全 风险 ， 甚 至 带 
来 灾难 。 缺 少 管理 能 够 为 分 布 式 环境 带 来 漏洞 和 缺口 ， 也 同 大 门 敞 着 、 窗 户 不 关 没 什么 区 别 。 
如 果 缺 乏 对 这 种 情况 的 认识 ， 那么 你 就 会 冒 更 大 的 风险 ,并且 有 更 多 潜在 的 不 利 条 件 。 


1.1.1 网 络 的 优越 性 


一 个 主要 的 业务 推动 是 计算 机 网 络 所 带 来 的 冲击 ， 即 计算 机 进行 通信 的 能 力 。 几 乎 每 个 
有 多 台 计 算 机 的 公司 都 会 有 某 种 形式 的 计算 机 网 络 。 并 且 ， 几 乎 所 有 困难 的 网 络 问题 都 已 经 
解决 了 ， 从 而 使 得 计算 机 的 互 连 变 得 相对 很 容易 。 网 络 技术 是 容易 实现 容易 使 用 的 。 公 司 网 
络 已 经 扩展 到 包括 业务 伙伴 、 客 户 、 合 约 关 系 以 及 进行 家 庭 办 公 的 员工 。 

在 某 些 情况 下 ， 公 司 网 络 甚至 已 经 扩展 到 了 直接 的 竞争 对 手 。 例 如 ， 连 接 到 工业 市 场 管 
理 组 织 的 网 络 ， 或 者 支持 具有 多 个 相似 组 件 提供 商 的 大 型 工程 的 网 络 。 你 可 能 希望 能 够 在 晚 
上 休息 的 时 候 也 能 对 公司 的 所 有 资产 了 如 指 掌 ， 并 且 公 司 的 信息 资产 能 够 受到 保护 而 不 会 被 
窃取 或 者 被 破坏 。 尽 管 大 部 分 的 网 络 技术 问题 已 经 解决 了 ， 但 是 计算 机 通信 的 容易 性 为 安全 
维护 问题 带 来 了 新 挑战 。 你 不 仅仅 要 关心 自己 的 机 器 的 安全 性 ， 也 需要 关注 同 其 相连 的 所 有 
其 他 计算 机 的 安全 性 。 


1.1.2 业务 环境 


最 近 的 情况 显示 ， 公 司 开发 计算 机 系统 来 对 其 业务 处 理 进 行 自动 化 ， 并 且 力 求 完美 。 相 
对 于 传统 的 手工 业务 处 理 来 说 ， 这 种 电子 化 方式 确实 大 大 提高 了 工作 效率 。 自 动 化 产品 的 使 
用 累积 了 大 量 有 价值 的 数据 。 当 人 们 开始 解决 如 何 访问 这 些 有 价值 数据 的 时 候 ， 业 务 处 理 的 
另 一 波浪 潮 又 到 了 。 这 种 对 数据 的 访问 类 型 通常 同 其 他 自动 化 处 理 过 程 有 冲突 。 在 公司 里 ， 
信息 技术 (Information Technology，IT ) 部 门 掌握 着 计算 处 理 如 何 工作 以 及 如 何 访问 数据 这 
些 知 识 。 安 全 问题 由 IT 部 门 的 某 个 人 员 负 责 ， 并 且 是 很 容易 实现 的 。 如 果 计 算 机 系统 不 可 用 ， 
业务 能 够 仍旧 进行 ， 但 可 能 有 点 别扭。 

现在 ， 自 动 业务 处 理 的 当前 状态 是 完全 不 同 的 。 几 个 主要 的 推动 力量 正在 汇集 起 来 改变 
计算 技术 对 业务 提供 支持 的 方式 。 技 术 上 的 许多 进步 使 得 安装 的 计算 能 力 几 乎 成 指数 增长 ， 
并 且 其 价格 不 变 甚至 低 于 原来 的 系统 。 更 多 更 好 的 自动 工具 正 用 来 支持 业务 。 视 频 、 图 像 、 
声音 以 及 语音 记录 等 都 可 以 是 获得 或 者 提供 信息 的 方式 ， 它 们 正在 改变 着 计算 机 对 业务 提供 
支持 的 方式 。 业 务 决策 过 程 已 经 从 根本 上 改变 了 ， 并 且 我 们 希望 能 够 更 好 。 我 们 越 依靠 系统 
生成 和 提供 的 数据 ， 对 这 些 数 据 就 需要 越 多 的 信任 。 

业务 处 理 过 程 是 由 经 济 上 的 需要 决定 的 ， 而 一 个 更 大 的 改变 已 经 重 构 了 业务 处 理 本 身 。 
仅仅 对 业务 处 理 进行 自动 化 是 不 够 的 ， 它 们 必须 在 计算 机 技术 的 支持 下 重新 从 头 构建 。 计 算 
机 不 再 仅仅 是 一 个 工具 ， 现 在 它们 已 经 成 为 操作 业务 的 一 个 集成 的 重要 部 分 。 现 在 ， 业 务 功 
能 非常 依赖 计算 机 ， 所 以 你 不 得 不 信任 它们 。 对 某 些 非常 依赖 计算 机 系统 的 业务 ， 即 使 他 们 
的 系统 出 现 故障 只 是 很 短 的 时 间 ， 那 么 这 些 业务 也 可 能 会 停止 进行 ， 至 少 是 运行 非常 不 便 。 

这 种 业务 的 再 建 工程 也 对 系统 用 户 的 需求 带 来 了 根本 性 的 改变 。 业 务 自动 化 的 第 一 次 浪 
潮 根据 系统 输入 使 用 计算 机 系统 来 分 析 数据 、 创 建 报表 以 及 提供 决策 建议 等 。 用 户 提供 的 答 
入 ， 并 按 系统 给 出 的 决策 建议 采取 行动 。 系 统 的 第 二 次 浪潮 把 数据 的 输入 移 到 了 产生 数据 的 
地 方 ， 从 而 避免 用 户 干预 数据 的 处 理 。 银 行 系统 引导 着 这 一 波浪 潮 。 
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现在 ， 我 们 使 用 的 系统 已 经 发 展 成 能 够 支持 知识 工人 ， 这 些 知 识 工人 在 他 们 的 系统 配置 
中 有 许多 应 用 程序 ， 并 且 他 们 有 能 力 访问 几乎 所 有 为 提高 工作 效率 所 需 的 数据 。 他 们 访问 的 
应 用 程序 和 数据 可 能 分 布 在 世界 上 的 任何 地 方 。 并 且 完 成 任务 所 需 的 应 用 程序 和 数据 可 能 并 
不 总 是 可 预测 的 。 我 们 已 经 取代 了 汇编 行 ， 我 们 需要 知道 具有 高 度 知识 的 用 户 进行 数据 处 理 
的 方法 以 及 访问 他 们 所 需 的 几乎 任何 计算 机 资源 和 数据 的 能 力 。 对 机 密 信 息 进行 保护 的 机 制 
也 必须 能 够 跟 上 新 的 业务 处 理 方式 。 


1.1.3 分 布 式 计算 是 容易 的 


分 布 式 系统 可 以 很 容易 地 组 织 在 一 起 ， 这 是 另 一 项 推动 力 。 由 于 某 些 原因 ， 人 们 更 多 关 
心 和 注意 的 似乎 是 某 些 困难 并 且 结 果 不 明确 的 事情 ， 而 不 是 那些 容易 并 且 结果 可 预测 的 事情 。 
如 果 分 布 式 系统 容易 实现 ， 那 么 安全 问题 似乎 更 少 有 人 关心 。 计 算 成 本 同样 如 此 。 如 果 分 布 
式 解决 方案 是 便宜 的 ， 那 么 计算 成 本 问题 丽 怕 没 人 过 问 。 几 乎 任何 人 都 能 够 获得 并 实现 一 个 
可 以 参与 分 布 式 计算 系统 的 系统 ， 但 是 保护 机 制 必须 加 进来 并 且 要 能 够 跟 上 这 种 扩展 的 使 用 
要 求 。 因 为 分 布 式 计算 是 容易 的 ， 所 以 你 最 好 能 够 信任 它 。 


1.1.4 客户 或 者 公众 的 认识 


当 从 自动 柜员 机 中 提 钱 的 时 候 , 或 者 更 重要 在 存 钱 的 时 候 ， 我 们 需要 保证 事务 是 绝对 安 
全 和 机 密 的 。 我 们 相信 刚 完 成 的 事务 是 对 我 们 的 银行 账户 所 进行 的 同一 次 事务 ， 并 且 其 他 任 
何人 对 该 项 事务 都 一 无 所 知 。 如 果 有 人 使 用 这 些 机 器 来 破坏 或 者 窃取 银行 的 信息 ， 并 且 我 们 
的 事务 也 受到 牵连 ， 那 么 我 们 会 很 快 停止 对 那些 机 器 的 使 用 ， 甚 至 有 可 能 不 再 光顾 该 银行 。 
安全 性 不 仅仅 应 该 是 严格 的 ， 它 也 应 该 被 广泛 地 理解 。 由 于 越 来 越 多 的 组 织 使 用 计算 技术 和 
网 络 来 处 理 组 织 间或 者 同 客 户 的 业务 ， 所 以 处 理事 务 时 的 安全 性 必须 被 认为 是 强 有 力 的 。 安 
全 性 可 用 做 一 个 卖点 。 尽 管 从 看 它 可 能 不 是 一 个 大 问题 ， 但 是 如 果 一 个 组 织 的 计算 环境 比 其 


竞争 对 手 的 计算 环境 更 安全 ， 那 么 前 者 就 有 了 一 项 很 有 竞争 力 的 优势 。 


1.1.5 技术 羡慕 


隐藏 在 许多 新 计算 机 系统 之 后 的 另 一 项 推动 力 可 以 称 做 技术 羡慕。 进行 信息 处 理 的 很 多 
人 某 种 情况 下 都 需要 最 新 最 先进 的 技术 。 人 们 总 是 需要 拥有 最 新 的 技术 以 及 最 快 、 最 强大 的 
系统 。 信 息 处 理 最 初 用 做 业务 处 理 自动 化 工具 。 需 要 实现 新 一 代 自 动 化 系统 是 因为 技术 的 发 
展 而 不 是 因为 业务 需求 的 改变 。 在 许多 情况 下 ， 这 节省 了 对 数据 处 理 硬件 和 软件 的 预算 。 然 
而 ,操作 业务 的 成 本 并 不 总 是 降低 。 现 在 ， 技 术 过 时 是 按照 月 而 不 是 年 来 算 的 。 

有 时 候 ， 应 用 信息 处 理 技术 的 决策 和 策略 是 建立 在 最 流行 的 技术 而 不 是 业务 需求 的 基础 
上 的 。 一 篇 发 表 在 航空 公司 杂志 上 的 优秀 文章 可 能 会 对 一 家 公司 的 策略 产生 重大 的 影响 。 人 
们 使 用 新 技术 通常 只 不 过 是 因为 怕 落 伍 。 事 实 上 ， 许 多 公司 已 经 停止 把 他 们 的 计算 进行 分 布 
化 ， 但 是 他 们 根本 没有 认识 到 他 们 的 方向 ， 或 者 根本 没有 理解 所 牵扯 的 业务 问题 。 安 全 考虑 
通常 滞后 于 对 最 新 最 先进 技术 的 需要 。 


1.2 业务 问题 
前 面 所 提 到 的 业务 推动 力 点 明了 分 布 式 计算 是 业务 的 一 个 重要 部 分 的 原因 。 然 而 ， 分 布 
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式 环境 带 来 了 许多 重要 的 问题 。 这 种 环境 要 求 考虑 更 周密 ， 并 且 在 大 的 范围 内 制定 计划 。 对 
于 那些 曾经 使 用 简单 的 技术 实现 来 保护 资产 的 地 方 ， 现 在 则 需要 提供 所 有 那些 分 布 式 元 素 能 
够 采纳 并 且 必 须 采 纳 的 规则 和 结构 。 


1.2.1 把 安全 当成 宗教 


有 时 候 ， 安 全 方法 更 多 地 是 建立 在 同宗 教 信念 类 似 的 基础 上 ， 而 不 是 建立 在 所 定义 的 需 
求 和 原则 的 基础 上 。 在 分 布 式 环境 中 有 两 个 或 者 更 多 的 “宗教 ” 。 一 个 分 布 式 环境 中 的 安全 方 
法 可 能 完全 不 同 于 另 一 个 分 布 式 环境 中 的 安全 方法 。 如 果 不 同 环境 的 大 门 需 要 不 同 的 钥匙 ， 
那么 跨 环境 的 应 用 和 数据 共享 是 非常 困难 的 。 安 全 太 多 和 安全 不 够 同样 都 是 问题 。 如 果 安 全 
机 制 变 成 了 用 户 工作 效率 的 一 个 负担 ， 那 么 用 户 可 能 需要 进行 大 量 的 工作 来 绕 开 它们 。 

公司 管理 对 安全 有 不 同 级 别 的 需要 ， 并 且 其 受 安全 影响 的 程度 也 不 同 。 这 些 不 同 使 得 存 
在 着 不 同 的 观点 和 意见 。 某 种 管理 级 别 可 能 特别 重视 员工 工作 效率 ， 它 把 严格 的 安全 机 制 看 
做 是 对 完成 业务 任务 的 障碍 。 更 高 级 别 的 管理 更 重视 业务 的 操作 和 知识 产权 的 保护 。 有 很 多 
这 样 的 例子 ， 公 司 秘密 被 窃取 并 卖 给 其 竞争 对 手 ， 然 后 其 竞争 对 手 使 用 这 些 信息 来 生产 出 更 
具 竞争 力 的 产品 ， 从 而 挤 垮 受害 公司 。 


1.2.2 成 本 与 风险 


平衡 安全 解决 方案 的 成 本 和 控制 这 些 方案 所 带 来 的 风险 是 一 个 重大 挑战 。 提 供 一 个 安全 
解决 方案 的 成 本 应 该 同安 全 机 制 所 保护 的 资产 的 价值 成 比例 。 该 成 本 也 必须 要 与 同 任何 潜在 
损失 或 者 资产 损失 相关 的 风险 取得 平衡 。 即 使 资产 被 看 做 是 很 有 价值 的 ， 为 防范 所 有 可 能 出 
现 的 风险 所 花费 的 成 本 也 可 能 是 不 合算 的 。 必 须要 在 安全 成 本 和 潜在 风险 之 间 达 成 平衡 。 

风险 可 以 看 做 是 业务 系统 的 危险 程度 、 机 密 信息 的 暴露 危险 或 者 通过 欺骗 引起 的 潜在 损 
失 。 一 个 敏感 的 风险 分 析 也 应 该 包括 对 员工 和 客户 安全 的 考虑 。 在 考虑 方案 之 前 ， 务 实 的 分 
析 应 该 完全 掌握 所 存在 的 风险 以 及 这 些 风险 所 带 来 的 影响 。 然 而 ， 客 户 的 资产 需要 受到 保护 。 

风险 的 本 性 同 技术 一 样 ， 会 不 断 变化 。 由 于 网 络 连 接 的 相对 缺乏 ， 来 自 外 部 的 风险 曾经 
看 做 是 非常 有 限 的 ， 但 现在 这 种 风险 在 增长 。 企 业 间 和 企业 内 部 对 通信 的 需求 以 及 通信 能 力 
都 在 持续 增长 。 将 来 ， 任 何 公司 都 可 以 通过 数据 高 速 公路 同 客户 、 其 他 公司 、 提 供 商 以 及 政 
府 进行 电子 通信 。 这 提高 了 对 组 织 内 部 管理 控制 的 要 求 ， 为 防止 信息 暴露 ， 不 仅 要 对 付 内 部 
欺骗 同时 要 对 付 可 能 的 外 部 攻击 。 : 


1.2.3 公司 承诺 


前 面 ， 我 们 将 公司 质量 承诺 和 安全 承诺 做 了 对 比 。 若 能 够 提供 分 布 式 环境 的 安全 性 ， 公 
司 领导 层 需要 具有 安全 意识 ， 并 且 把 安全 应 用 到 所 有 的 分 布 领域 中 。 方 法 和 实现 的 任何 差异 
必须 要 在 企业 中 达成 共识 。 许 多 组 织 实 现 了 安全 处 理 ， 但 没有 提供 足够 的 基础 (包括 原则 和 和 
政策 )， 而 这 些 基础 可 以 使 得 安全 程序 能 够 更 加 有 效 。 安 全 是 一 个 公司 问题 ， 应 该 作为 公司 问 
题 来 对 待 。 公 司 可 能 需要 一 个 良好 定义 的 安全 策略 。 

公司 承诺 的 另 一 个 重要 方面 是 对 员工 安全 意识 的 培养 和 教育 。 只 有 员工 认识 到 安全 的 重 
要 性 以 及 每 个 人 所 承担 的 责任 ， 公 司 资产 的 安全 性 才 是 真正 有 作用 的 。 这 种 意识 必须 扩展 到 
组 织 的 所 有 地 方 。 系 统 的 设计 和 开发 必须 把 安全 需求 牢记 在 心 ， 这 应 该 同 把 系统 和 网 络 的 操 
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作 技 巧 牢记 在 心 一 样 。 如 果 人 们 不 知道 安全 对 于 组 织 是 非常 重要 的 ， 并 且 也 不 知道 他 们 应 该 
为 此 付出 什么 ， 那么 他 们 不 会 注意 安全 问题 。 


1.2.4 选择 和 技术 


不 幸 的 是 ， 没 有 能 够 解决 所 有 的 分 布 式 安全 问题 的 “魔杖 ”。 解 决 这 一 问题 没有 一 个 合适 
的 方法 或 者 技术 方案 。 对 于 信息 的 重要 性 和 分 布 式 环境 中 涉及 的 相关 技术 风险 ， 经 常 存在 相 
互 冲突 的 目标 ， 或 者 受到 不 同 程度 的 关注 。 对 于 什么 是 安全 或 者 需要 什么 安全 这 个 问题 ， 通 
常会 有 互相 冲突 的 答案 。 在 信息 访问 的 方便 性 和 安全 性 之 间 往 往 有 一 个 平衡 。 关 于 安全 方案 
的 任何 决定 都 只 能 在 全 盘 考 虑 以 后 才能 完成 。 

对 于 安全 问题 ， 人 们 通常 急切 地 需要 找到 一 个 技术 方案 。 有 许多 不 同 的 安全 方案 可 用 ， 
这 使 得 问题 变 得 更 加 复杂 。 从 前 面 可 知 ， 分 布 式 计算 安全 是 一 个 业务 问题 而 不 是 一 个 技术 问 
题 。 在 真正 了 解 需要 保护 什么 以 及 为 什么 需要 保护 它们 之 前 ， 寻 找 一 个 技术 方案 是 没有 多 大 
意义 的 。 跟 上 所 有 的 分 布 式 和 安全 标准 以 及 它们 可 能 对 组 织 所 产生 的 影响 是 非常 办 准 的 。 
多 标准 现在 仍然 在 发 展 。 


1.3 小 结 


在 当前 的 自动 系统 中 ， 分 布 式 计算 是 一 个 非常 重要 的 因素 。 有 很 多 原因 可 以 解释 这 一 点 。 
若 要 保证 分 布 式 环境 中 的 信息 资产 受到 保护 ， 那 么 公司 或 组 织 需要 考虑 很 多 方面 和 很 多 问题 。 
分 布 式 计算 安全 是 可 能 的 吗 ? 值得 为 它 付 出 的 成 本 吗 ? 提供 分 布 式 系统 安全 性 的 挑战 在 其 获 
得 更 好 的 解决 之 前 可 能 会 变 得 更 严重 。 然 而 ， 如 果 正 确 处 理 了 安全 需求 ， 那 么 分 布 式 系统 的 
好 处 要 远 远 超过 其 风险 。 我 们 将 试图 提供 一 些 帮助 从 而 使 得 人 们 可 以 更 好 地 理解 问题 ， 并 且 
提供 如 何 解决 这 些 问题 的 建议 。 

在 下 面 几 章 中 ， 我 们 将 试图 更 详细 地 解释 所 存在 的 挑战 ， 并 且 试图 帮助 你 着 手 对 付 这 些 
挑战 。 当 你 掌握 了 问题 及 其 解决 方法 以 后 ， 分 布 式 系统 安全 就 是 可 以 达到 的 。 在 第 ? 章 中 ,我 
们 将 继续 评论 分 布 式 环境 所 带 来 的 更 具体 的 挑战 。 


第 2 章 ”分布 式 安全 的 挑战 
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分 布 式 计算 中 的 安全 性 不 容易 得 到 。 同 1849 年 穿 过 大 平原 到 达 加 利 福 尼 亚 州 和 俄勒冈 州 
的 开拓 者 们 一 样 ， 这 里 也 有 许多 危险 需要 战胜 。 希 玛 和 俄勒冈 的 足迹 表明 那些 开拓 者 们 跨越 
了 许多 宽阔 的 河流 和 沙漠 。 天 气 是 常年 的 敌人 ， 并 且 存 在 着 迷路 的 可 能 性 。 但 是 通过 使 用 其 
他 人 的 经 验 ， 就 能 认识 到 危险 并 且 能 够 对 付 。 拓 荒 故 事 千 奇 百 怪 ， 安 全 问题 同样 如 此 。 没 有 
任何 一 个 方案 或 者 技术 能 够 解决 我 们 可 能 遇 到 的 所 有 问题 。 


2.1 几 个 故事 


本 章 介绍 一 些 危险 和 应 该 考虑 的 问题 。 就 如 同 那些 穿 过 大 平原 的 人 们 所 做 的 那样 ， 我 们 
也 首先 从 几 个 故事 开始 ……。 


2.1.1 杜 鸯 鸟 的 蛋 


在 1986 年 8 月 ，Ciifford Stoll， 一 个 天 文学 家 ， 后 来 成 为 加 利 福 尼 亚 大 学 劳伦斯 伯克利 实 
验 室 中 的 计算 系统 管理 员 ， 发 现 每 月 计算 机 账单 记录 中 有 一 个 75 分 的 差额 。 研 究 人 员 开 始 对 
该 差额 进行 跟踪 ， 结 果 发 现 了 一 个 德国 黑客 组 织 ， 该 组 织 已 经 渗透 到 了 世界 上 许多 政府 和 军 
事 网 络 里 。 使 用 相对 并 不 复杂 的 技术 来 攻击 脆弱 的 安全 实现 ， 他 们 能 够 穿 透 许多 计算 机 站 点 。 
在 对 其 行为 进行 了 数 个 月 的 跟踪 以 后 ， 这 些 黑 客 们 最 终 被 逮捕 归案 。 在 跟踪 过 程 中 ， 跟 踪 人 
员 试 图 得 到 几 个 对 该 问题 感 兴趣 的 不 同 代理 。Clifford Stoll 在 《The Cuckoo's Egg》 
[ Stoll,1989 ] 一 书 中 完整 地 介绍 了 这 个 故事 ， 这 本 书 变 成 了 一 本 流行 的 计算 机 黑客 读物 。 


nope et te 
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2.1.2 网 上 的 蠕虫 


在 1988 年 11 月 2 号 ， 上 千 台 连接 到 互联 网 上 的 VAX 和 UNIX 系 统 开始 神秘 地 瘫痪。 它们 感 
染 了 一 种 称 做 蠕虫 的 特殊 计算 机 病毒 。 该 蠕虫 启动 一 个 又 一 个 的 进程 ， 从 而 迅速 消耗 掉 受 感 
染 计算 机 的 资源 。 最 终 ， 受 感染 的 计算 机 会 竣 痪 掉 。 

蚂 虫 也 找到 了 网 上 的 新 受害 者 。 利 用 操作 系统 中 鲜 为 人 知 的 安全 漏洞 ， 蛤 虫 在 整个 互联 
网 上 迅速 地 繁殖 ， 最 终 使 上 干 台 计算 机 的 速度 慢 得 像 假 行 一 样 ， 或 者 使 得 计算 机 脱离 了 网 络 。 
该 蠕虫 的 作者 是 Robert T. Morris， 它 是 美国 国家 安全 局 (National Security Agency ) 的 首席 计 
算 机 科学 家 的 儿子 。 当 人 们 知道 这 一 点 以 后 ， 都 被 震惊 了 。Meorris 是 一 个 大 学 毕业 生 ， 他 宣 
称 该 蠕虫 只 不 过 是 用 来 测试 计算 机 安全 性 的 一 个 没有 成 功 的 实验 而 已 。 


2.1.3 物理 安全 


在 1969 年 ， 一 场 教 学 示范 变 成 了 一 场 财产 破坏 ， 其 原因 是 位 于 蒙特 利 尔 的 乔治 威廉 姆 其 
大 学 的 计算 机 系统 受到 了 攻击 。 该 计算 机 系统 被 占领 了 上， 计算 机 的 打印 输出 从 窗户 中 球 出 来 
并 散布 在 下 面 的 大 街 上 。 ， 


“我 还 记得 当时 的 情形 ,” 我 的 祖父 说 ,“ 那 是 在 安大略 省 的 一 个 寒 夜 ， 我 们 的 马 拉 雪 


概 被 一 群 狼 包 国 了 。 我 拿 着 枪 号 到 了 狠 群 中 ， 但 枪 却 哑 火 了 。” 然 后 我 的 祖父 叹 了 一 声 气 。 
我 用 害怕 的 嗓音 问 他 ,“ 后 来 呢 ? ”他 说 道 ;“ 我 死 了 ”。 





2.1.4 密码 窃贼 


在 1994 年 2 月 ， 卡 内 基 梅 隆 大 学 的 计算 机 应 急 小 组 (Computer Emergency Response TIeam， 
CERT ) 发 布 了 一 个 重要 报告 。 报 告发 出 警告 ， 指 出 人 侵 者 们 使 用 受害 系统 在 互联 网 上 窃取 密 
码 。 据 报告 ， 遭 到 窃取 的 密码 已 经 有 数 万 之 多 。 黑 客 使 用 诊断 软件 来 截获 发 送 给 他 们 已 获得 
访问 权 的 系统 的 流量 。 大 多 数 受害 系统 都 没有 注意 到 这 种 偷窃 行为 。 


2.1.5 遗漏 的 错误 


许多 计算 机 厂商 向 客户 交付 系统 时 会 附带 一 些 诊断 工具 ， 这 些 工具 是 由 一 个 单独 的 用 户 
账号 所 支持 的 。 这 些 账号 通常 有 一 个 共同 的 密码 ， 如 support。 联机 文档 指出 一 旦 系统 正确 安 
装 以 后 ， 这 些 密码 应 该 马上 改变 。 如 果 安 装 后 没有 改变 密码 ， 那 么 就 意味 着 用 户 的 系统 敞开 
着 大 门 ， 而 该 信息 会 通过 BBS ( bulletin board system ) 快速 传播 开 。 


2.1.6 丢失 了 什么 


有 一 位 制造 商 在 经 过 一 个 长 周末 后 返回 办 公 室 发 现 其 办 公 室 被 闻 入 了 。 经 过 一 番 仔 细 搜 
查 以 后 ， 发 现 什么 也 没有 丢 。 只 不 过 后 来 ， 当 这 家 公司 丢失 了 一 个 同 竞争 对 手 的 重要 合约 时 ， 
他 们 才 发 现 人 侵 者 把 含有 同 这 份 合约 有 关 信 息 的 计算 机 文件 给 找 走 了 。 这 种 信息 盗窃 可 能 不 
易 发 现 ， 但 是 它 是 非常 有 害 的 。 
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2.1.7 ” 抓 住 罪犯 


一 家 软件 公司 还 住 了 一 个 非法 使 用 其 产品 的 用 户 。 该 公司 提供 其 新 产品 线 的 免费 演示 软 
件 。 该 演示 软件 装 到 客户 的 PC 里 。 除 了 进行 演示 以 外 ， 该 软件 还 会 在 硬盘 上 搜索 对 该 公司 软 
件 的 非法 拷贝 。 该 软件 公司 深 受 盗版 者 青睐 。 如 果 发 现 一 次 非法 拷贝 ， 那 么 邀请 用 户 打印 、 
填写 并 回 寄 一 个 用 于 免费 产品 手册 的 赁 单 。 几 百 个 用 户 都 这 么 做 了 ,但 是 他 们 没有 收 到 手册 ， 
取而代之 的 是 收 到 了 来 自 该 公司 律师 的 一 封 非法 软件 索赔 信 。 


2.2 安全 问题 


。 今天 的 业务 处 理 方式 受到 计算 机 的 自动 支持 。 我 们 把 自己 公司 的 业务 处 理 进 行 自动 化 ， 
并 且 希 望 其 他 公司 的 业务 处 理 也 会 有 足够 的 自动 化 ， 从 而 能 够 在 不 减损 我 们 的 自动 化 系统 的 
情况 下 同 他 们 进行 业务 来 往 。 为 了 保持 业务 往来 的 效率 ， 这 些 关 系 的 信任 方面 必须 要 得 到 保 
证 。 现 在 我 们 同 客户 、 提 供 商 以 及 伙伴 有 各 种 不 同 的 关系 ， 这 把 我 们 带 和 人 了 一 个 同 这 些 实体 
的 信任 关系 网 肉 。 为 了 这 种 信任 ， 我 们 必须 要 有 一 个 坚固 的 基础 。 为 了 建立 和 维护 这 种 信任 ， 
我 们 需要 处 理 许多 问题 。 在 本 章 中 ， 我 们 将 对 信任 所 需 的 一 些 具体 方面 进行 说 明 。 


2.2.1 计算 增长 


在 第 1 章 中 ， 提 到 了 促进 了 分 布 式 计算 系统 的 实现 的 业务 推动 力 之 一 是 它 的 相对 容易 性 。 
其 他 业务 问题 刺激 了 分 布 式 系统 的 增长 ， 以 及 对 安全 性 的 需要 。 过 去 的 小 型 部 门 打印 服务 器 
现在 已 经 发 展 成 全 功能 微型 数据 中 心 。 在 许多 情况 下 ， 它 们 仍然 只 像 打印 服务 器 一 样 操作 和 
保护 。 在 公司 小 型 化 的 世界 中 ， 运 作 部 门 的 分 布 式 计算 系统 一 般 没有 补充 信息 系统 专业 人 员 。 
公司 需要 对 安全 功能 进行 集中 式 管理 ， 但 是 用 于 这 方面 的 工具 仍旧 不 成 熟 或 者 不 可 用 。 通 常 ， 
复杂 性 的 增长 和 系统 数量 的 增 大 使 得 提供 安全 环境 变 得 非常 困难 。 . 


2.2.2 认识 问题 


把 集中 式 数 据 中心 的 计算 能 力 分 散 到 不 同 部 门 中 也 导致 了 系统 数量 的 增 大 。 把 应 用 从 大 
型 主机 移 到 开放 式 平 台 上 是 个 很 大 的 工程 。 在 许多 情况 下 ， 这 意味 着 用 几 台 计算 机 来 代替 一 
台大 型 机 器 。 有 效 安排 多 台 计算 机 及 位 置 所 带 来 的 挑战 为 许多 公司 的 防卫 系统 带 来 了 问题 。 
在 许多 情况 下 ， 管 理 部 门 没有 认识 到 安全 责任 的 改变 以 及 这 种 新 型 分 布 式 环境 所 带 来 的 挑战 。 

必须 承认 ， 在 分 布 式 环境 中 问题 的 明确 是 非常 困难 的 。 一 方面 ， 分 布 式 平台 的 安全 性 并 
不 非得 同 集中 式 系统 完全 一 样 ; 另 一 方面 ,“ 大 场面 ”的 认识 ， 其 中 包括 所 有 的 分 布 式 平台 ， 
可 能 不 是 很 明显 。 我 们 需要 分 析 整 个 企业 所 受 的 影响 ， 而 不 仅仅 局 限于 当前 的 近邻 。 也 需要 
认识 什么 时 候 处 理 陌 生 人 ， 什 么 时 候 处 理 近 邻 。 通 常 ， 一 个 公共 信任 是 同 近邻 形成 的 ， 但 是 
我 们 也 需要 考虑 陌生 人 访问 的 需求 。 

对 于 许多 组 织 来 说 ， 计 算 机 病毒 正成 为 一 个 严重 的 问题 。 事 实 上 ， 在 最 近 一 次 调查 中 ， 
超过 2/3 的 组 织 报告 说 他 们 受到 了 计算 机 病毒 的 影响 。 这 种 影响 的 范围 小 到 简单 的 恶作剧 病毒 ， 
大 到 对 企业 数据 的 真正 破坏 。 病 毒 可 以 通过 多 种 途径 进 和 组织。 员工 的 家 庭 计算 机 中 可 能 有 
病毒 ， 如 果 把 软件 或 者 共享 软件 带 到 办 公 室 ， 那 么 病毒 就 有 可 能 也 带 到 办 公 室 。 甚 至 ,来自 
厂商 的 许可 发 布 软件 也 可 能 会 带 有 病毒 。 从 系统 中 清除 病毒 的 成 本 是 很 大 的 。 该 问题 的 影响 
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必须 要 认识 到 ， 并 且 需 要 采取 措施 以 维护 一 个 “干净 的 ”环境 。 如 果 不 进行 杀毒 工作 ， 那 么 
更 多 的 病毒 变种 会 大 量 繁殖 。 


2.2.3 风险 分 析 


任何 资产 保护 都 需要 包括 风险 分 析 。 你 的 资产 需要 进行 什么 程度 的 保护 ? 采取 控制 可 以 
减少 风险 ， 但 这 是 需要 成 本 的 。 引 入 了 越 多 的 安全 性 ， 控 制 的 成 本 就 越 高 ， 同 时 希望 预期 损 
失 的 成 本 就 越 低 。 如 果 你 对 风险 、 需 要 保护 的 资产 以 及 控制 的 成 本 有 清晰 的 认识 ， 那 么 就 可 
以 得 到 一 个 平衡 的 安全 系统 。 不 幸 的 是 ， 在 计算 机 系统 中 ， 控 制 的 成 本 通常 要 比 风 险 以 及 需 
要 保护 的 信息 的 价值 更 容易 确定 。 

对 于 分 布 式 处 理 来 说 ， 重 要 的 问题 是 不 能 明确 什么 是 有 价值 的 或 者 哪里 有 价值 。 安 全 系 
统 的 目标 是 提供 安全 控制 ， 但 是 其 成 本 应 该 同 没有 控制 的 情况 下 的 预期 损失 的 价值 相同 。 任 
何 安全 问题 的 缺乏 都 不 会 表明 风险 的 缺乏 。 许 多 组 织 在 明确 他 们 需要 的 保护 的 对 象 以 及 这 种 
保护 所 避免 的 风险 之 前 ， 就 把 重点 放 在 解决 安全 问题 的 技术 上 。 你 可 以 通过 实现 控制 、 把 风 
险 分 给 其 他 人 或 者 自己 假设 风险 来 避免 风险 。 这 里 的 底线 是 在 实施 保护 之 前 一 定 要 首先 明确 
需要 保护 的 对 象 。 | 


2.2.4 数据 分 类 


你 清楚 地 知道 什么 业务 信息 应 该 是 秘密 的 以 及 什么 不 应 该 是 秘密 的 吗 ? 不 同 的 信息 有 不 
同 的 机 密 性 和 可 靠 性 需求 ， 这 是 构建 安全 系统 需要 解决 的 一 个 主要 问题 。 许 多 组 织 没有 花费 
大 量 的 时 间 来 确定 各 种 信息 对 于 业务 的 重要 性 。 这 会 影响 到 实现 的 安全 度量 或 者 如 何 应 用 安 
全 。 如 果 没 有 一 个 分 类 系统 ， 那 么 限制 安全 机 制 可 能 会 应 用 到 一 切 事物 上 ， 可 能 限制 工作 效 
率 ; 也 可 能 是 使 用 了 非常 少 的 安全 措施 ， 从 而 增 大 了 风险 。 在 实现 安全 机 制 之 前 ,我们 必须 
要 明确 对 于 组 织 来 说 什么 是 重要 的 以 及 为 什么 重要 。 数 据 的 安全 性 和 可 用 性 将 决定 需要 什么 
样 的 安全 度量 以 及 这 些 度量 应 该 如 何 广泛 地 使 用 。 


2.2.5 单一 登录 


单一 登录 的 问题 是 客户 最 常 提 到 的 问题 。 登 录 到 计算 机 系统 上 的 用 户 需要 使 用 用 户 ID 和 
密码 作为 识别 和 认证 形式 。 如 果 要 访问 几 个 系统 ， 那 么 可 能 需要 登录 到 许多 不 同 的 系统 上 ， 
其 中 每 个 都 需要 用 户 ID 和 密码 。 事 实 上 ， 安 全 系统 越 复杂 ， 如 何 记 住 通过 它 来 访问 真正 的 应 
用 问题 就 越 大 。 用 户 会 绕 过 该 问题 ， 或 者 找到 可 以 提供 附加 访问 的 替代 方法 。 

即使 最 尽责 的 人 也 可 能 会 无 意 地 导致 最 健壮 的 安全 技术 毫 无 用 处 。 在 有 些 办公 室 中 ， 终 
端 或 者 PC 上 会 贴 着 几 个 黄色 的 小 便签 ， 上 面 写 着 各 种 登录 顺序 、 系 统 ID 以 及 应 用 密码 ， 这 样 
做 是 为 了 避免 用 户 忘记 这 些 信息 。 你 注意 到 过 这 种 情况 吗 ? 如 果 用 户 忘记 或 者 混淆 了 密码 ， 
那么 工作 效率 会 受到 影响 。 这 可 以 通过 向 系统 管理 员 求助 以 重 设 密码 。 这 里 的 挑战 是 如 何在 
不 需要 用 户 必须 通过 几 道 关口 才能 访问 分 布 式 应 用 的 前 提 下 提供 所 需 的 安全 性 。 


2.2.6 有 人 闻 入 四 


对 于 分 布 式 系统 来 说 ， 最 让 人 头痛 的 问题 之 一 是 探查 是 否 发 生 了 安全 问题 。 如 果 一 个 夜 
贼 光临 了 你 家 ， 可 以 很 容易 知道 。 如 果 你 的 房子 非常 安全 ， 那 么 必然 会 留 下 一 些 强行 进入 的 . 


ne tsa 


和 2 音 “分 布 式 安 会 的 郝 战 715 


痕迹 ; 抽 屠 可 能 被 翻 得 乱七八糟 ， 或 者 房子 里 丢失 了 一 些 东 西 。 不 幸 的 是 ， 如 果 有 人 像 夜 贼 
那样 光临 了 你 的 计算 机 系统 ， 就 不 容易 知道 了 。 这 种 偷窃 行为 的 目标 是 你 的 信息 资产 ， 夜 里 
可 能 只 是 和 弄 走 了 一 份 拷贝 而 原件 丝毫 未 损 。 只 有 系统 能 够 对 访问 信息 进行 审计 ， 或 者 使 用 了 
特殊 的 检测 机 制 ( 如 房间 内 安装 了 摄像 机 )， 那 么 你 才 可 能 会 有 未 授权 登录 的 证 据 。 

如 果 锁 紧 大 门 ， 大 多 数 计算 机 安全 系统 都 会 拒绝 非法 访问 ; 但 是 如 果 发 现 有 人 通过 窗户 
进行 访问 ,那么 系统 就 有 麻烦 了 。 许 多 密码 和 用 户 ID 都 被 安装 在 系统 中 或 者 网 络 上 的 特殊 工 
具 截获 ， 但 你 根本 不 知道 这 是 谁 干 的 。 这 类 似 于 在 蜂窝 电话 会 议 中 缺乏 安全 性 。 任 何人 都 可 
以 听取 会 议 内 容 ， 并 且 你 没有 办 法 知道 所 发 生 的 情况 。 蜂 窝 电 话 会 议 安全 问题 是 很 容易 理解 
的 ， 但 是 若 要 保证 计算 机 通信 的 安全 性 则 成 本 很 大 。 尽 管 如 此 ， 还 是 值得 那么 去 做 。 


2.2.7 远程 访问 


廉价 的 个 人 计算 机 的 可 用 性 能 以 及 相对 高 速 的 通信 网 络 使 得 许多 员工 有 能 力 从 家 中 访问 
公司 的 计算 机 系统 。 在 某 些 情况 下 ， 这 可 以 使 员工 在 正常 工作 时 间 之 后 进行 工作 。 这 通常 意 
味 着 员工 可 以 使 用 某 种 形式 的 工具 来 “拨号 ”到 公司 的 系统 上 。 然 而 ， 允 许 这 种 形式 的 网 络 
人 口 也 会 使 得 其 他 的 非 公司 员工 来 尝试 进入 网 络 。 可 以 用 许多 技术 方案 来 提供 所 需 的 安全 程 
度 ， 并 保证 只 有 授权 用 户 才能 通过 这 种 途径 来 访问 公司 网 络 。 

通过 对 公司 网 络 的 远程 访问 ,“ 在 路 上 ”的 员工 也 能 够 访问 公司 数据 库 ， 不 在 办 公 室 的 员 
工 可 以 通过 电子 邮件 来 提高 其 通信 能 力 和 工作 效率 。 许 多 安全 解决 方案 依靠 以 下 事实 ， 访 问 
的 发 源 地 已 定义 并 可 预测 。 而 “在 路 上 ”进行 远程 访问 的 情况 不 符合 该 事实 ， 这 种 情况 需要 
能 够 提供 身份 认证 的 其 他 安全 方案 。 

对 远程 访问 的 需求 不 仅仅 是 技术 安全 问题 ， 它 还 是 政策 问题 。 对 公司 网 络 的 远程 访问 也 
可 能 会 提供 进入 其 他 网 络 的 人 口 。 这 个 事实 是 非常 重要 的 ， 可 能 会 成 为 一 个 问题 ， 例 如 ， 如 
果 你 或 者 你 的 孩子 希望 在 家 中 通过 公司 的 访问 点 来 上 网 的 话 。 为 了 上 网 ， 有 些 员工 可 能 会 在 
管理 人 员 一 无 所 知 的 情况 下 把 调制 解 调 器 和 软件 安装 在 办 公 室 的 PC 上 ， 从 而 可 以 容易 地 从 家 
里 访问 公司 网 络 。 


2.2.8 安全 问题 来 自 何方 


回顾 安全 事故 ， 了 解 大 多 数 问题 来 自 哪里 是 非常 重要 的 。 大 多 数 人 以 及 很 多 新 闻 认 为 安 
全 事件 和 损失 的 来 源 是 罪恶 的 黑客 ， 但 是 到 目前 为 止 ， 同 安全 相关 的 事件 中 最 多 的 一 部 分 源 
自 组 织 内 部 。 超 过 半数 的 损失 都 是 由 安全 问题 引起 的 ， 罪 魁 祸首 或 是 现在 的 或 是 原来 的 员工 。 
这 样 的 问题 大 多 数 都 是 由 错误 或 者 玖 忽 引起 的 ， 後 事 者 大 多 是 不 满 的 员工 而 不 是 恶意 的 黑客 ， 
但 是 黑客 也 是 非常 值得 注意 的 。 管 理 部 门 已 经 逐渐 认识 到 这 一 事实 ， 并 且 把 内 部 环境 同 外 部 
环境 一 起 进行 防范 。 


2.2.9 网 络 连接 


在 第 1 章 中 ， 我 们 提 到 过 对 安全 问题 的 推动 力 之 一 是 计算 机 网 络 的 可 用 性 以 及 实现 。 我 们 
认为 ， 对 于 将 来 成 功 的 业务 来 说 ， 网 络 的 互联 是 最 重要 的 因素 之 一 ， 同 时 它 也 是 最 大 的 潜在 
安全 风险 之 一 。 网 络 正 用 来 支持 过 去 通常 在 组 织 之 外 的 访问 。 工 作 承 包 给 转 包 商 。 公 司 之 间 
互相 进行 业务 往来 。 业 务 处 理 是 由 外 部 公司 进行 的 。 在 有 些 情况 下 ， 竞 争 者 已 经 把 他 们 的 网 
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络 连接 到 了 公共 的 第 三 方 ， 甚 至 他 们 自己 。 

由 于 这 些 互联 需求 的 全 球 性 质 ， 问 题 会 继续 增多 。 如 果 不 同 的 组 织 之 间 已 经 互联 了 计算 
系统 ， 那 么 如 何在 它们 之 间 提 供 安全 ? 如 何 保证 所 有 对 网 络 和 系统 的 访问 都 是 经 过 授权 许可 
的 ? 你 使 用 什么 样 的 安全 基础 并 且 如 何 对 其 进行 管理 ? 另 一 个 组 织 的 安全 实践 会 对 你 产生 什 
么 影响 ?所 有 这 些 因素 迫使 提出 安全 问题 并 加 以 解决 。 


2.3 十 大 问题 


根据 我 们 的 观点 ， 下 面 的 十 大 问题 ( 关于 信任 和 安全 ) 是 使 用 分 布 式 计算 的 组 织 需 要 面 
对 的 。 但 是 其 排名 与 其 重要 性 无 关 ， 我 们 认为 它们 都 是 非常 重要 的 。 

1) 达到 正确 的 平衡 。 计 算 机 安全 不 会 为 任何 人 (厂商 和 顾问 除外 ) 创造 金钱 。 它 是 使 用 
计算 机 进行 业务 处 理 的 成 本 。 在 安全 的 需要 和 系统 的 有 效 利 用 的 需要 之 间 必 须要 取得 一 个 平 
衡 。 通 常情 况 下 ， 没 有 任何 商业 企业 会 拥有 使 其 计算 环境 绝对 安全 所 需 的 全 部 资源 。 

企业 的 风险 必须 要 同 防备 这 些 风险 所 付出 的 成 本 取得 平衡 。 其 他 的 需求 ， 如 使 用 方便 性 
和 系统 性 能 ， 也 必须 要 同系 统 安全 进行 权衡 。 从 前 面 可 知 ， 我 们 不 愿意 实现 一 个 会 降低 工作 
效率 的 安全 系统 。 我 们 也 不 愿意 在 安全 方面 投入 的 金钱 比 受 保护 对 象 的 自身 价值 还 要 高 。 

2) 脆弱 的 认证 。 认 证 是 大 多 数 安全 机 制 的 基础 。 我 们 需要 证 实用 户 或 者 系统 确实 是 他 们 
所 说 的 用 户 或 者 系统 。 当 前 的 认证 方法 依靠 密码 或 者 网 络 地 址 来 进行 认证 。 密 码 通常 在 局 域 
网 或 者 网 络 上 以 明文 的 形式 进行 传输 ， 任 何 能 够 访问 该 局 域 网 或 者 网 络 的 人 都 可 以 很 容易 截 
获 密码 。 网 络 地 址 也 可 以 伪造 。 我 们 需要 更 严格 的 认证 方法 ， 它 必须 能 够 防止 发 现 明文 密码 ， 
并 且 不 依靠 网 络 地 址 。 

3) 管理 工具 。 数 据 处 理 的 一 个 重要 规则 是 ， 如 果 它 执行 ， 那 么 管理 它 。 对 于 使 用 多 厂商 
产品 的 分 布 式 环境 ， 综 合 管理 工具 是 非常 缺乏 的 。 公 共 认证 、 访 问 控制 、 审 计 以 及 探查 需要 
集中 式 工具 。 使 用 多 种 产品 和 技术 的 环境 需要 这 些 工具 来 支持 。 

4) 因特网 。 地 平 线 上 有 了 新 东西 。 它 或 者 是 灿烂 的 阳光 ， 或 者 是 一 团 黑 旱 ， 这 完全 取决 
于 你 的 观点 。 上 网 现在 是 谈论 和 出 版 的 最 多 的 主题 之 一 ， 它 可 能 是 印刷 术 问 题 以 来 最 伟大 的 
事情 ， 也 可 能 是 文明 结束 的 开始 。 通 过 上 网 ， 人 们 能 够 访问 到 大 量 的 信息 ， 并 且 可 以 互相 进 
行 频繁 的 接触 ， 这 是 真正 值得 注意 的 。 

通过 因特网 ， 全 世界 都 可 以 访问 你 的 系统 ， 而 你 可 能 会 在 不 知 不 觉 的 情况 下 受到 危害 。 
在 本 书后 面 你 会 发 现 ， 网 络 访问 带 来 了 一 些 安全 挑战 和 麻烦 。 如 果 要 连接 到 因特网 上 ， 必 须 
要 进行 仔细 的 考虑 并 进行 正确 的 预防 工作 以 保证 你 的 系统 安全 不 会 受到 侵害 。 

5) 网 络 上 的 最 脆弱 点 。 公 司 网 络 上 的 最 脆弱 点 将 会 是 第 一 个 遭受 攻击 的 地 方 。 一 旦 一 个 
脆弱 的 系统 被 攻破 了 ， 那 么 该 系统 会 被 用 做 对 更 关键 的 系统 和 应 用 进行 侵害 的 基础 。 你 需要 
保证 所 有 的 系统 都 符合 已 定义 的 标准 ， 并 且 需 要 针对 所 有 系统 的 审计 来 提高 企业 的 安全 级 别 ， 
或 者 把 脆弱 系统 同 企业 网 络 分 离开 。 网 络 的 安全 性 只 取决 于 其 上 最 脆弱 的 链接 。 

6) 不 同 的 技术 。 问 题 不 是 我 们 没有 足够 的 技术 ， 而 恰恰 相反 ， 是 有 太 多 的 技术 。 标 准 的 
缺乏 阻止 了 对 问题 全 面 解决 方案 的 接受 。 或 者 有 大 量 不 同 的 标准 来 处 理 安全 的 不 同方 面 ， 或 
者 是 有 多 个 标准 来 处 理 安全 的 同一 方面 。 没 有 一 个 标准 能 够 处 理 所 有 的 方面 ， 也 不 是 所 有 的 
标准 都 处 理 同一 方面 。 大 多 数 安全 问题 的 解决 都 有 许多 非常 先进 的 技术 可 用 ， 但 是 这 些 技术 
之 间 互 相 难 以 协调 ， 并 且 它 们 都 难以 管理 。 


种 2 人 赣 ”分 布 式 安全 的 规 战 17 


7) 物理 访问 。 如 果 一 个 未 经 授权 的 人 能 够 对 计算 机 系统 或 者 网 络 设备 进行 物理 访问 ， 那 
么 系统 就 可 能 会 受到 非法 访问 。 由 于 大 多 数 的 计算 机 事故 都 归 因 于 内 部 员工 ， 所 以 物理 访问 
仍旧 是 一 个 需要 注意 的 重要 问题 。 对 连接 在 网 络 中 的 一 台 PC 上 的 磁盘 的 简单 访问 就 足够 提供 
这 种 容易 的 访问 。 

8) 不 适当 的 策略 和 程序 。 许 多 组 织 有 来 自 大 型 主机 环境 的 安全 策略 和 程序 ， 或 者 根本 就 
没有 任何 策略 。 在 分 布 式 计算 环境 中 ， 员 工 的 责任 和 对 信息 的 访问 都 要 比 在 大 型 主机 环境 中 
所 预想 的 要 多 。 分 布 式 计算 环境 需要 新 的 策略 和 程序 以 适应 环境 的 改变 。 

9) 教育 。 今 天 计算 机 已 经 渗透 到 了 每 一 个 方面 ， 犯 罪 技术 和 安全 技术 同时 都 有 了 很 大 发 
展 ， 但 不 知 哪 种 技术 发 展 得 更 快 。 普 通 的 系统 管理 员 可 能 已 经 跟 不 上 技术 的 变化 。 许 多 安全 
漏洞 被 利用 了 ， 只 是 因为 黑客 要 比 组 织 内 的 任何 人 都 更 明白 这 些 漏洞 。 现 在 ,许多 专家 黑客 
要 比 一 个 组 织 内 的 任何 人 都 更 了 解 组织 内 硬件 和 软件 的 复杂 细节 。 

10) 缺乏 计划 。 对 于 一 个 组 织 来 说 ， 移 动 到 分 布 式 计算 环境 会 对 当前 安全 体系 结构 引起 许 
多 改变 。 可 能 一 个 企业 所 犯 的 最 大 错误 是 对 新 环境 没有 制定 计划 。 要 知道 ， 根 据 计算 技术 界 
的 直接 需求 来 定义 环境 是 非常 错误 的 。 计 划 的 缺乏 会 导致 互相 冲突 的 控制 和 不 可 管理 的 解决 
方案 。 甚 至 更 糟 ， 很 多 安全 大 门 可 能 没有 关上 。 


2.4 结论 


当前 ， 对 安全 问题 没有 一 个 万 能 的 解决 方案 。 操 作 系 统 和 网 络 系统 的 本 性 注定 了 安全 问 
题 的 存在 。 对 我 们 的 工作 起 到 帮助 的 东西 也 使 我 们 暴露 于 众 。 当 计算 机 互相 还 难以 通信 时 ， 
安全 问题 几乎 没有 人 关心 。 在 分 布 式 环境 中 ， 用 于 一 个 系统 的 安全 级 别 可 能 不 适合 另 一 个 系 
统 。 当 这 些 系统 互 连 起 来 以 后 ， 会 发 生 什么 情况 呢 ? 在 大 的 中 心 系 统 中 ， 安 全 保护 通常 由 技 
术 和 技术 上 的 含糊 性 来 提供 。 在 现在 的 分 散 世界 中 ， 我 们 需要 一 套 一 致 的 法 律 和 一 个 公共 的 
蓝图 来 提供 同一 级 别 的 保护 和 信用 。 

全 球 化 商务 对 组 织 间 的 通信 提出 了 新 的 要 求 ， 同 时 它 把 众多 的 内 部 网 络 互相 链接 起 来 。 
对 计算 机 系统 的 攻击 还 会 增加 。 组 织 必须 要 采取 措施 以 保证 它们 自身 不 会 成 为 攻击 目标 。 在 
下 一 章 中 , 我 们 将 讲述 一 些 安全 基础 ， 定 义 一 些 术 语 ， 并 提供 一 些 用 于 安全 系统 构建 的 基础 。 
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第 3 章 计算 安全 基础 
第 4 章 安全 体系 结构 





复杂 问题 的 解决 需要 一 个 正确 的 基础 。 谁 也 不 会 在 一 个 不 牢固 的 地 基 上 建造 自己 的 家 。 
否则 ， 墙 壁 裂 经、 地 板 塌陷 或 者 其 他 问题 是 在 所 难免 的 。 同 样 ， 如 果 没 有 正确 的 基础 ， 那 么 
计算 安全 问题 的 解决 也 就 成 了 “水 中 月 ， 镜 中 花 "， 对 其 时 间 和 资源 的 分 配 也 就 根本 无 从 谈 
起 。 

在 第 3 章 ， 将 分 析 计 算 安全 的 基础 ， 其 意图 是 介绍 一 些 贯穿 本 书 的 基础 概念 和 术语 。 接 下 
来 的 一 章 将 检查 计算 安全 的 基础 ， 它 会 讲述 安全 问题 的 几 条 基本 原则 ， 并 介绍 组 织 对 安全 问 
题 所 采取 的 不 同方 法 。 第 4 章 则 介绍 计算 策略 和 策略 的 主题 。 在 第 5 章 ， 将 介绍 一 个 用 于 分 布 
式 计算 环境 安全 问题 的 体系 结构 ， 或 者 称 为 模型 。 有 两 个 主要 原因 可 以 解释 为 什么 组 织 会 有 
一 个 安全 体系 结构 。 第 一 ， 这 使 得 组 织 可 以 使 用 一 个 可 视 化 的 模型 来 说 明 多 种 安全 组 件 的 相 
互 关系 ， 如 认证 ( 例如， 你 是 谁 ” ) 和 授权 ( 例如 ， 你 被 允许 进行 什么 操作 ? ) 之 间 的 关系 。 
第 二 ， 这 有 助 于 把 安全 体系 结构 同 整个 的 计算 机 体系 结构 结合 在 一 起 。 使 用 一 个 可 视 化 的 模 
型 有 助 于 确定 体系 结构 需要 处 于 的 位 置 。 本 部 分 的 最 后 一 章 处 理 计 算 安 全 策略 的 建立 。 安 全 
策略 提出 了 可 接受 的 用 户 管理 和 管理 职责 。 安 全 策略 应 该 为 计算 安全 问题 的 解决 提供 充分 的 
指导 和 高 级 管理 支持 。 
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如 果 对 计算 安全 问题 进行 讨论 ， 那 么 需要 公共 的 术语 和 概念 来 描述 安全 系统 所 涉及 的 事 
物 。 计 算 安全 所 带 来 的 基本 挑战 之 一 是 简单 地 标识 谁 需要 在 计算 系统 中 做 什么 。 我 们 需要 使 
用 一 个 方法 来 证 明 系 统 的 用 户 确 实 是 他 们 所 说 的 用 户 。 当 一 个 用 户 或 者 实体 请 求 一 个 动作 时 ， 
我 们 使 用 他 的 标识 来 判断 他 是 否 授权 。 在 本 章 中 ， 将 介绍 几 个 用 于 安全 组 件 基础 的 定义 和 概 
念 。 信 任 是 一 个 非常 重要 的 概念 ， 它 是 我 们 同 邻 居 、 朋 友 以 及 社会 进行 交往 的 方式 。 当 应 用 
到 计算 系统 时 ， 它 也 是 一 个 非常 重要 的 概念 。 本 章 将 详细 讨论 信任 概念 对 于 计算 来 说 具有 什 
么 意义 以 及 为 什么 说 它 很 重要 。 


3.1 安全 的 概念 


任何 安全 系统 的 目的 都 是 保持 秘密 的 能 力 。 这 一 点 对 于 人 和 自动 系统 都 是 正确 的 。 下 面 
我 们 将 看 一 下 对 保持 秘密 的 需求 以 及 帮助 我 们 实现 该 目的 的 方法 和 技术 。 当 存储 信息 或 者 在 
网 络 上 传输 信息 的 时 候 ， 保 持 信息 的 秘密 是 非常 重要 的 。 在 大 多 数 情况 下 ， 当 前 通过 网 络 发 
送 的 信息 同 蜂窝 电话 具有 同样 的 安全 性 。 使 用 正确 的 设备 并 选择 合适 的 时 机 ， 任 何人 都 可 以 
对 你 所 说 的 内 容 进 行 监听 。 所 以 ， 你 需要 使 用 一 个 方法 来 保证 你 所 说 的 内 容 只 能 被 你 的 谈话 
对 象 所 听 到 。 

X/OPEN 对 信息 技术 安全 所 下 的 定义 是 :“IT 安 全 是 IT 系统 的 状态 。 在 该 状态 下 ， 通 过 采 
取 适 当 的 措施 ，IT 系 统 上 的 应 用 风险 降低 到 了 一 个 可 以 接受 的 程度 。IT 安 全 的 目的 在 于 保护 
资产 免 遭 威胁 ”[XOPEN1]。X/OPEN 是 一 个 由 多 家 公司 组 成 的 非 营 利 联盟 ， 它 专注 于 开放 系 
统 的 发 展 。 安 全 需要 来 保护 资产 ( 大 多 数 情况 下 以 数据 的 形式 存在 ) 免 受 威 胁 ， 从 而 保证 数 
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据 的 正确 性 并 帮助 用 户 信任 系统 。 安 全 是 由 完整 性 、 认 证 、 访 问 控制 或 者 授权 、 机 密 性 以 及 
认可 所 组 成 的 。 所 有 这 些 主题 都 需要 分 析 。 


3.1.1 标识 


你 是 谁 ? 安全 系统 最 基本 的 元 素 是 标识 当事人 是 谁 的 能 力 。 在 授予 系统 访问 许可 之 前 ， 
我 们 需要 知道 你 是 朋友 还 是 敌人 。 如 果 在 酒店 舞厅 里 有 一 个 私人 舞会 ， 那 么 我 们 可 能 需要 正 
式 请 帖 或 者 客人 清单 来 判断 谁 可 以 参加 该 舞会 。 在 计算 机 系统 中 ， 需 要 某 种 方法 来 识别 个 体 
和 检查 客人 ， 从 而 可 以 知道 什么 时 候 来 了 一 个 人 侵 者 。 在 我 们 有 能 力 判断 他 们 是 否 是 他 们 所 
说 的 之 前 ， 首 先 必须 知道 它 是 谁 。 一 个 更 重要 的 问题 可 能 是 我 们 使 用 什么 来 进行 标识 。 使 用 
如 用 户 ID 之 类 的 指派 名 、 如 指纹 之 类 的 生物 特征 ， 还 是 使 用 已 定义 的 位 置 来 进行 标识 ? 这 种 
标识 应 该 是 唯一 的 。 两 个 人 同一 时 间 内 不 能 使 用 同一 个 标识 。 


3.1.2 认证 


证 明 你 是 你 所 说 的 。 一 旦 我 们 有 了 请 求 者 的 标识 ， 下 一 个 最 重要 的 计算 安全 系统 元 素 是 
证 明 一 个 人 确实 是 他 所 说 的 人 的 能 力 。 认 证 是 标识 的 证 据 。 这 个 证 据 可 以 建立 在 多 种 事物 之 
上 。 对 某 个 人 进行 认证 的 最 常见 方法 是 看 看 他 是 否 知道 只 有 他 才 应 该 知道 的 秘密 。 在 计算 机 
系统 中 ,证明 标识 的 最 常见 的 形式 是 使 用 密码 。 在 进行 任何 操作 之 前 ， 安 全 系统 需要 证 明 你 
知道 这 个 秘密 。 通 常 ， 这 称 做 第 一 功能 认证 一 一 你 所 知道 的 某 样 东 西 。 

认证 的 另外 一 种 形式 是 看 一 个 人 是 否 拥有 只 有 他 才 可 以 拥有 的 某 样 东 西 ， 其 形式 可 以 是 
个 惟一 的 卡 、 磁 盘 或 者 特殊 的 令 牌 。 通 常 ， 这 称 做 第 二 功能 认证 一 一 你 所 拥有 的 某 样 东西 。 
一 种 更 安全 的 认证 形式 是 建立 在 某 个 只 有 你 才 拥 有 的 物理 特征 或 者 特性 之 七 的 。 这 可 以 是 指 
纹 或 者 拇指 印 、 视 网 膜 扫 描 、 语 音 印 迹 或 者 其 他 的 个 人 特征 等 。 这 称 做 生物 认证 或 者 第 三 功 
能 认证 一 一 你 是 某 样 东西 。 

认证 有 许多 不 同 的 方式 ， 并 且 有 许多 支持 技术 可 以 应 用 到 指定 的 需求 中 。 认 证 的 强度 需 
要 定义 什么 类 型 的 功能 或 者 技术 应 该 实现 。 对 于 办 公 室 中 的 大 多 数 人 来 说 ， 一 个 简单 的 密码 
可 能 是 非常 有 用 的 。 当 这 些 人 进入 到 办 公 室 的 复杂 环境 中 的 时 候 ， 他 们 已 经 通过 了 某 种 形式 
的 安全 屏蔽 ， 他 是 否 由 由 其 他 员工 所 检查 。 第 二 功能 认证 ， 如 一 个 安全 令 牌 、 一 个 点 子 密码 
生成 器 或 者 其 他 设备 ， 可 能 需要 来 控制 对 办 公 室内 个 人 区 域 的 访问 。 使 用 一 个 安全 令 牌 也 是 
提供 对 网 络 进行 远程 拨号 访问 的 流行 方法 。 第 三 功能 认证 只 在 最 安全 的 环境 中 实现 。 

另 一 种 提供 认证 的 有 趣 方式 是 使 用 位 置 做 为 请 求 的 测量 之 一 。 全 球 定位 卫星 ( global 
positioning satellite，GPS ) 系统 能 够 为 我 们 提供 全 世界 范围 内 的 一 个 精确 位 置 ， 其 误差 在 几 
米 之 内 。 我 们 可 以 使 用 来 自 GPS 系 统 的 位 置信 息 做 为 参数 来 生成 位 置 签名 ， 然 后 把 此 位 置 签 
名 同 所 预期 的 位 置 签名 进行 比较 ， 从 而 确定 它 的 真实 性 。 例 如 一 个 位 于 加 拿 大 境内 的 银行 和 
一 个 位 于 巴西 境内 的 银行 ， 如 果 二 者 之 间 的 一 笔 事 务 处 理 产生 于 欧洲 ， 那 么 该 事务 处 理 就 什 
得 怀疑 。 








3.1.3 授权 
你 可 以 做 什么 ? 一 旦 我 们 知道 并 且 能 够 证 明 某 个 人 或 者 某 个 东西 确实 是 他 所 说 的 (那个 
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人 或 者 那个 东西 )， 那 么 我 们 需要 确定 这 个 人 可 以 做 什么 。 授 权 依赖 于 对 用 户 或 者 请 求 的 成 功 
标识 和 认证 。 授 权 是 把 权限 授予 用 户 、 程 序 或 者 进程 。 我 们 使 用 授权 来 定义 用 户 可 以 看 见 什 
么 、 使 用 什么 以 及 在 哪里 进行 处 理 。 系 统 中 有 很 多 资源 ， 以 及 很 多 针对 于 用 户 或 者 进程 (已 
认证 ) 的 服务 ， 对 这 些 资源 和 服务 的 访问 要 有 选择 地 授予 用 户 。 取 决 于 所 需 的 授权 级 别 ， 这 
些 权 限 会 按照 许多 不 同 级 别 来 进行 授予 。 

授权 可 以 明确 授予 ， 也 可 以 明确 拒绝 。 如 果 我 们 明确 拒绝 访问 ， 那 么 任何 人 都 可 以 访问 
信息 ， 但 那些 我 们 希望 保持 机 密 的 信息 除外 ; 如果 我 们 明确 授予 访问 ， 那 么 除了 我 们 授予 访 
问 许可 的 信息 以 外 ， 其 他 任何 信息 都 将 不 能 访问 ， 这 种 授权 可 以 定义 在 系统 范围 内 ， 或 者 取 
决 于 技术 ， 也 可 以 限定 在 具体 的 数据 元 素 上 。 我 们 也 能 基于 访问 类 型 进行 授权 。 访 问 类 型 一 
般 就 是 读 、 写 、 创 建 、 更 新 、 删 除 以 及 执行 。 


3.1.4 机 密 性 


你 能 保守 秘密 吗 ? 保守 秘密 的 能 力也 是 一 个 非常 重要 的 元 素 。 机 密 性 就 是 保护 信息 免 遭 
未 经 授权 的 泄漏 。 一 般 有 两 种 方法 可 以 用 来 提供 机 密 性 。 一 个 方法 是 限制 对 有 限 个 体 的 访问 
来 限制 对 信息 的 访问 。 我 们 修建 一 个 高 且 厚 的 院 墙 来 阻止 任何 人 进入 院内 ， 甚 至 连 偷 看 也 不 
行 。 只 有 那些 具有 正确 权限 并 且 已 严格 认证 的 人 ， 才 可 以 进入 院内 。 如 果 有 一 些 可 以 绕 过 院 
墙 溜 进 院 内 的 途径 ， 那 么 信息 的 机 密 性 就 会 受到 损害 。 

另 一 个 方法 是 使 用 一 个 只 有 我 们 才 知 道 的 特殊 代码 来 打 乱 信息 。 这 就 是 加 密 。 我 们 打 乱 
或 者 加 密 信息 来 隐藏 信息 ， 当 需要 使 用 这 些 信息 的 时 候 ， 再 对 信息 进行 还 原 翻 译 或 者 解密 。 
只 有 那些 知道 打 乱 代码 或 者 密 钥 并 且 知道 如 何 使 用 它们 的 人 才能 够 访问 这 些 信息 。 一 般 来 说 ， 
这 种 方法 要 比 修建 一 个 大 院 墙 更 能 提供 机 密 性 。 即 使 有 人 费力 爬 进 了 院内 ， 里 面 的 信息 也 不 
会 有 危险 。 为 了 能 够 提供 机 密 性 ， 加 密 通常 看 做 是 任何 安全 系统 中 的 必需 组 件 。 使 用 加 密 来 
保持 机 密 的 能 力 是 建立 在 两 个 因素 之 上 的 : 第 一 个 因素 是 加 密 算法 的 长 度 ; 第 二 个 更 重要 的 
因素 是 保持 密码 安全 的 能 力 。 


3.1.5 完整 性 


你 得 到 我 发 给 你 的 消息 了 吗 ? 完整 性 是 保证 消息 或 者 数据 的 安全 并 且 不 会 修改 的 性 质 。 
完整 性 检查 可 以 帮助 检测 系统 、 应 用 程序 、 数 据 以 及 网 络 的 未 授权 使 用 和 修改 。 提 供 完 整 性 
检查 的 一 个 方法 是 在 发 送 或 存储 之 前 先 在 数据 或 消息 的 结尾 处 附加 上 一 个 特殊 的 指示 符 或 者 
消息 摘要 。 该 消息 摘要 是 对 消息 内 容 进 行 散 列 过 程 所 产生 的 一 小 段 数 据 。 对 消息 内 容 的 任何 
更 改 都 会 产生 一 个 不 同 的 消息 摘要 值 。 在 消息 发 送 或 存储 之 前 ， 搞 要 本 身 也 可 以 加 密 。 

当 提取 数据 时 ， 或 者 在 接收 数据 时 ， 同 样 的 过 程 还 要 执行 一 遍 。 如 果 所 计算 的 消息 摘要 
同 追 加 在 消息 后 面 的 摘要 相 匹 配 ， 那 么 消息 肯定 没有 自 改 。 如 果 二 者 不 一 致 ， 那 么 在 消息 发 
送 或 者 存储 以 后 ， 消 息 肯定 更 改过 了 。 有 许多 方法 都 可 以 用 来 提供 完整 性 。 

3.1.6 认可 


你 确实 得 到 了 我 的 消息 ! 认可 是 防止 对 消息 的 发 送 、 接 收 或 者 进行 处 理 的 否认 。 它 证 明 
一 条 消息 确 已 发 送 和 接收 。 它 保证 消息 的 发 送 方 不 能 否认 消息 的 发 送 ， 消 息 的 接收 方 不 能 否 
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认 消 息 的 接收 。 认 可 是 建立 在 惟一 签名 或 者 标识 的 基础 上 的 ， 该 签名 或 标识 可 以 证 明 谁 创建 
了 消息 或 者 信息 ， 以 及 该 消息 或 信息 发 生 了 些 什么 事件 。 如 果 有 认可 的 话 ， 那 么 可 以 证 明 一 
个 人 同一 个 动作 或 事件 有 关联 。 

下 面 是 一 个 真实 的 故事 ， 它 可 以 非常 好 地 说 明 认可 的 必要 性 。 在 未 经 敌国 的 允许 之 下 ， 
某 个 国家 在 丛林 深 处 进行 了 一 个 使 用 多 种 监听 设备 的 隐秘 军事 行动 。 该 行动 意 在 监听 该 国境 
内 的 各 种 通信 。 来 自 司令 部 的 一 个 紧急 编码 消息 突然 打破 了 平静 。 该 消息 迅速 解密 并 认证 ， 
然后 得 到 的 结果 是 一 条 命令 ， 即 立即 离开 并 破坏 该 行动 。 该 消息 包含 了 一 个 特殊 的 鉴别 码 ， 
来 证 明 该 消息 只 能 来 自 司令 部 中 的 一 个 已 授权 个 体 ， 这 是 由 一 个 特殊 的 过 程 来 验证 的 。 该 消 
息 只 能 由 那个 已 被 授权 那么 做 的 人 来 发 送 。 

作为 该 命令 的 结果 ， 当 “特殊 的 红色 按钮 被 按 下 ”时 ， 破 坏 过程 开 始 了 ， 从 林 里 乱 作 一 
团 。 建 筑 物 里 的 所 有 设备 都 上 好 了 炸药 。 当 人 员 撤 退 好 以 后 ， 所 有 建筑 物 和 所 有 设备 都 被 炸 
得 粉碎 。 接 下 来 的 那些 天 里 ， 士 兵 们 藏 在 丛林 中 等 待 援救 。 但 是 根本 没有 人 来 ， 所 以 肯定 出 
了 什么 差错 ! 

真相 很 简单 ， 即 消息 送 错 地 方 了 ! 该 军事 行动 是 不 应 该 终止 的 ， 但 他 却 收 到 了 一 份 本 应 
该 是 一 个 需要 中 止 的 行动 收 到 的 消息 。 该 故事 很 好 地 说 明了 不 仅仅 消息 源 需 要 认可 ， 而 且 消 
息 传 送 也 需要 认可 。 在 该 故事 中 ， 消 息 源 没有 问题 。 如 果 司 令 部 要 求 接收 方 对 消息 的 传送 进 
行 确 认 ， 那 么 这 次 灾难 就 可 以 避免 。 


3.1.7 审计 和 审计 跟踪 


审计 似乎 是 那些 通常 出 现在 安全 系统 中 的 必要 的 罪恶 之 一 。 审 计 是 一 个 可 信赖 的 、 博 学 
的 以 及 独立 的 个 体积 累 并 评价 事实 的 过 程 ， 其 目的 在 于 报告 要 评论 的 对 象 同 已 建立 的 标准 之 
间 的 符合 情况 。 计 算 机 审计 的 目的 在 于 根据 已 经 建立 的 安全 策略 、 原 则 或 者 工业 标准 来 评审 
系统 或 者 网 络 的 性 能 。 我 们 需要 具有 这 样 的 能 力 ， 从 而 可 以 跟踪 并 查阅 可 能 会 看 做 是 安全 问 
题 以 及 可 能 会 导致 安全 问题 的 所 有 情况 。 

审计 跟踪 是 组 织 列 表 ， 通 常 其 由 事件 所 发 生 的 时 间 来 维护 。 这 些 事件 可 以 通过 对 信息 的 
访问 、 系 统 资源 的 使 用 或 者 同安 全 机 制 的 交互 来 触发 。 如 果 我 们 成 了 一 个 未 经 授权 的 人 侵 者 
的 目标 ， 那 么 我 们 需要 理解 该 安全 危害 的 影响 ， 其 方法 就 是 查看 什么 信息 被 访问 了 以 及 系统 
是 否 不 正确 地 使 用 了 。 查 看 审计 跟踪 能 够 帮助 我 们 做 到 这 一 点 。 一 个 好 的 安全 系统 应 该 具有 
健壮 的 审计 功能 和 审计 跟踪 。 


3.1.8 安全 过 程 


现在 ,可 以 使 用 上 面 这 些 安全 组 件 了 。 图 3-1 说 明了 这 些 组 件 使 用 的 地 方 。 我 们 假设 一 台 
个 人 计算 机 ， 称 为 client ( 客户 机 )， 是 系统 的 主要 入 口 。 该 机 器 需要 连接 到 另 一 台 称 为 server 
(服务 器 ) 的 计算 机 上 以 执行 事务 。 客 户 机 和 服务 器 都 位 于 同一 个 domain ( 域 ) 中 。 

当 客户 机 上 的 用 户 提交 一 个 登录 请 求 时 ， 他 需要 提供 用 户 ID 和 密码 。 在 送 往 服务 器 进行 
认证 之 前 ,该 用 户 ID 和 密码 应 该 首先 加 密 以 保持 机 密 性 。 服 务 器 使 用 密码 来 对 用 户 进行 认证 。 
在 服务 器 上 ， 密 码 应 该 总 是 以 加 密 的 形式 保存 。 如 果 用 户 ID 和 密码 是 有 效 的 ， 那 么 登录 请 求 
会 生成 认证 响应 。 根 据 用 户 认证 标识 ， 如 果 用 户 正确 授权 ， 那 么 接着 就 会 执行 一 系列 的 事务 。 
如 果 需 要 ， 事 务 消 息 可 以 通过 使 用 追加 消息 摘要 和 数字 签名 来 包含 完整 性 和 认可 组 件 。 
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客户 机 -服务 器 域 


登录 请 求 ( 用 户 ID/ 密 码 ) 





图 3-1 登录 过 程 


3.2 信任 一 一 信任 的 概念 


假设 你 的 业务 处 理 系统 分 散在 多 个 处 理 器 上 ， 而 这 些 处 理 器 并 不 是 全 在 你 的 控制 之 下 ， 
那么 为 什么 应 该 信任 该 系统 上 的 业务 处 理 ? 除非 组 成 这 个 系统 的 所 有 组 件 都 符合 你 所 要 求 的 
信任 级 别 ， 和 否则 你 不 会 使 用 这 个 系统 。 只 有 所 要 求 的 所 有 属性 都 包括 在 系统 中 时 ， 这 种 信任 
级 别 才 会 建立 。 根 据 个 人 观点 和 具体 需求 的 不 同 ， 满 足 所 需 级 别 的 组 件 和 属性 可 能 会 有 很 大 
的 差别 。 对 于 同一 系统 组 件 来 说 ， 由 于 不 同 的 原因 ， 不 同 的 人 可 能 需要 不 同 的 属性 。 

房屋 建筑 者 总 是 希望 房屋 的 设计 简单 并 且 容易 修建 。 他 们 愿意 使 用 高 质量 的 材料 以 及 好 
的 工具 ， 从 而 提高 其 时 间 和 技术 的 使 用 效率 。 最 终 完成 的 房子 应 该 是 没有 瑕 疫 的 ， 并 且 任 何 
需要 的 变化 都 能 够 容易 且 廉 价 地 实现 。 为 了 销售 ， 地 产 商 所 希望 的 是 房子 能 够 具有 大 量 的 功 
能 ， 并 且 出 自 著 名 的 建筑 师 之 手 。 买 方 希望 房子 应 该 是 可 靠 的 、 安 全 并 且 价 钱 公 道 。 所 有 这 
些 需求 是 不 同 的 ， 但 是 同一 套房 子 必 须 同 时 满足 它们 。 当 每 一 方 的 特殊 需求 都 被 满足 了 的 时 
候 ， 信 任 就 建立 起 来 了 。 

信任 可 以 定义 为 对 完整 、 真 实 或 者 公正 等 方面 的 相信 。 信 任 所 指 的 是 应 用 程序 进行 完整 
性 操作 、 保 持 机 密 信息 的 秘密 以 及 持续 工作 的 能 力 。 负 责 计 算 系统 设计 、 部 署 和 管理 的 人 必 
须 认 识 到 并 且 能 够 对 如 下 问题 做 出 回答 : 在 系统 可 能 是 分 布 式 的 情况 下 以 及 系统 和 控制 可 能 
处 于 更 大 危险 的 情况 下 ， 如 何 维护 系统 的 一 个 高 信任 级 别 ? 一 旦 丢失 了 信任 ,将 需要 进行 大 
量 的 工作 和 说 服 以 重新 建立 信任 。 

对 于 任何 自动 化 系统 ， 你 可 能 会 问 : 为 了 使 我 们 相信 它 ， 系 统 必 须 提供 什么 ? 我 们 使 用 
下 面 的 模型 来 解释 计算 系统 中 的 信任 组 件 ， 它 由 三 个 主要 部 分 组 成 : 安全 性 、 可 用 性 以 及 性 
能 。 安 全 是 由 安全 构建 部 件 组 成 的 ， 这 包括 认证 、 授 权 、 完 整 性 、 机 密 性 以 及 认可 一 一 这 些 
都 是 我 们 刚刚 讨论 过 的 。 可 用 性 依靠 那些 用 于 保证 系统 总 是 可 用 的 功能 和 属性 。 另 外 ， 需 要 
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可 接受 的 性 能 来 防止 失败 和 潜在 的 绕 过 控制 行为 。 如 果 在 信任 可 保证 之 前 这 三 个 因素 都 满足 
了 ， 那 么 我 们 就 有 更 大 的 信心 来 得 到 一 个 可 信 环 境 。 图 3-2 说 明了 构成 一 个 可 信 系 统 主 干 的 组 
件 和 属性 。 





图 3-2 信任 模型 


3.2.1 可 用 性 


信任 所 要 求 的 第 二 个 特点 是 可 用 性 。 用 户 需要 能 够 确信 刚 输入 的 事务 会 立即 执行 。 有 一 
个 未 记 入 文档 的 但 却 得 到 普遍 认可 的 系统 失败 级 别 ， 它 定义 了 实际 响应 时 间 同 所 期 待 时 间 之 
间 的 关系 。 如 果 两 个 时 间 非 常 不 一 致 或 者 不 稳定 ， 那 么 该 失败 级 别 就 会 根据 二 者 之 间 的 差距 
进行 指数 增长 。 如 果 系统 在 需要 使 用 的 时 候 不 可 用 ， 那 么 你 的 工作 处 理 就 会 受到 影响 。 即 使 
系统 并 不 正确 进行 业务 需求 所 需要 的 工作 ， 在 需要 的 时 候 它 也 必须 要 处 于 可 用 状态 ， 并 且 还 
要 能 够 在 合理 的 时 间 内 完成 任务 。 可 用 性 包括 : 

.持续 性 一 在 物理 组 件 出 故障 的 情况 下 ， 能 够 经 受 一 次 完全 服务 中 断 并 随后 进行 恢复 的 

能 力 。 

,持久 性 一 一 在 分 布 式 系统 的 一 些 物理 组 件 出 故障 的 情况 下 ， 能 够 经 受 一 次 部 分 或 者 平 组 

服务 降低 的 能 力 。 

,恢复 一 一 在 没有 任何 人 工 干预 的 情况 下 ， 从 一 次 完全 服务 中 断 中 进行 恢复 的 能 力 。 

.一致 性 一 一 在 给 定 相 同 数据 和 处 理 标准 的 情况 下 ， 能 够 产生 同一 结果 的 能 力 。 分 布 式 处 

理 必须 是 一 致 的 。 
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3.2.2 性 能 


可 信 环 境 的 第 三 个 组 件 是 性 能 。 为 了 接受 和 使 用 计算 系统 ， 它 必须 能 够 在 所 需 的 时 间 范 
围 内 尽快 地 完成 请 求 。 然 而 ， 如 果 使 用 计算 系统 会 为 你 的 工作 带 来 负面 影响 或 者 手工 处 理 任 
务 的 速度 更 快 ， 那 么 你 可 能 不 会 使 用 这 种 系统 。 这 方面 的 例子 有 很 多 ， 如 一 个 需要 多 次 输入 
密码 的 认证 过 程 ， 或 者 一 次 需要 使 用 几 个 处 理 器 一 一 这 些 处 理 器 是 通过 一 个 慢 速 网 络 进行 连 
接 的 一 一 查询 。 使 用 计算 系统 不 应 该 降低 工作 效率 。 安 全 系统 和 相关 安全 策略 的 设计 应 该 考 
虚 到 交付 一 个 合适 的 、 可 信 的 系统 所 需要 的 实际 权衡 因素 ， 这 些 系 统 才能 工作 正常 并 且 能 够 
同 它 需 要 保护 的 资产 的 价值 相 吻 合 。 


3.2.3 信任 边界 


在 任何 分 布 式 计算 环境 中 ， 我 们 都 需要 对 信任 边界 进行 定义 。 如 果 我 们 居住 在 一 个 具有 
上 锁 人 口 或 者 安全 走廊 的 大 厦 公寓 里 ， 会 认为 任何 进入 该 大 厦 的 人 都 是 已 授权 这 人 么 做 的 。 通 
过 第 一 道 测试 一 一 前 门 以 后 ， 我 们 赋予 他 们 某 个 信任 程度 。 我 们 也 需要 定义 分 布 式 计算 环 境 
中 的 信任 边界 。 不 管 我 们 在 什么 时 候 把 信息 进行 分 布 化， 我 们 都 希望 信息 分 布 到 的 地 方 总 是 
安全 的 。 授 权 的 范围 有 多 大 ? 什么 时 候 、 什 么 地 方 我 们 需要 对 认证 和 授权 再 次 进行 检查 ? 

上 面 这 些 问 题 同 信任 边界 密切 相关 。 做 为 一 个 用 户 ， 我 们 希望 信任 边界 能 够 包括 在 业 
务 处 理 期 间 可 能 与 之 交互 的 所 有 一 切 。 这 意味 着 我 们 不 应 该 必须 使 用 不 同 的 密码 登录 到 几 
个 系统 上 。 从 安全 角度 上 看 ， 我 们 希望 信任 边界 能 够 变 得 非常 窄 ， 只 允许 那些 具有 明确 授 
权 的 人 访问 系统 和 信息 。 信 任 边 界 必须 能 够 促进 工作 效率 但 却 不 会 引入 太 多 的 风险 ， 这 正 
是 它 的 范围 。 


3.3 信任 一 一 需要 信任 的 原因 


当 只 使 用 一 台 计 算 机 时 ， 可 以 相对 很 容易 地 检查 出 系统 是 否 按照 预期 情况 进行 工作 。 如 
果 系 统 工作 不 正常 ， 那 么 问题 的 根源 所 在 无 非 也 就 几 个 地 方 。 获 得 信息 或 者 更 新 一 个 文件 之 
类 的 操作 通常 都 是 很 简单 的 。 然 而 ， 对 于 复杂 的 系统 ， 其 中 可 能 有 多 个 文件 需要 更 新 。 在 这 
种 情况 下 ， 系 统 需要 一 个 机 制 来 处 理 更 新 一 致 的 问题 一 一 如 果 一 个 文件 更 新 失败 ， 那 么 多 个 
文件 都 要 回 滚 到 操作 发 生前 的 那 一 时 刻 。 如 果 一 个 分 布 式 计算 系统 跨越 位 于 多 个 地 点 的 多 个 
计算 机 之 上 ， 那 么 你 可 以 想象 一 下 这 种 情况 下 计算 机 程序 执行 和 文件 更 新 的 复杂 程度 。 系 统 
产生 你 所 需要 的 结果 吗 ? 如何 判断 执行 成 功 与 否 ? 如何 把 所 有 的 处 理 都 回 滚 到 同一 时 刻 ， 就 
好 像 错误 根本 没有 发 生 一 样 ?信任 永远 不 必 疑 问 系统 或 者 数据 的 状态 。 

当前 ， 有 三 个 因素 制约 着 分 布 式 计算 系统 的 发 展 ， 可 用 的 网 络 带宽 、 健 壮 管理 系统 以 及 
完全 分 布 式 安全 系统 。 为 了 能 够 把 一 个 计算 过 程 的 任何 部 分 都 放 到 位 于 使 其 具有 最 佳 意义 地 
点 的 计算 机 上 ， 我 们 需要 具有 足够 的 网 络 通信 能 力 以 保证 使 用 网 络 不 会 造成 瓶颈 。 足 量 的 网 
络 带 宽 是 一 个 成 本 因素 而 不 是 一 个 技术 因素 。 如 果 调 整 了 成 本 ， 所 需 的 网 络 带宽 是 可 用 的 。 
系统 管理 问题 也 是 一 个 陂 待 解决 的 领域 。 标 准 系统 管理 组 件 并 不 适用 于 所 需 的 所 有 平台 ， 以 
及 各 种 不 同 的 分 布 式 系统 实现 方式 。 安 全 组 件 标准 在 定义 和 实现 方面 进展 缓慢 ， 它 们 必须 满 
足 分 布 式 系统 的 需求 。 我 们 有 能 力 把 数据 和 处 理 分 布 化 ， 同 时 不 需要 提供 健壮 性 来 对 它们 进 
行 管理 和 安全 保证 。 
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3.4 小 结 


信任 应 该 一 开始 就 设计 到 计算 环境 中 ， 而 不 是 后 来 再 添加 。 如 果 有 信任 问题 ， 那 么 一 个 
系统 可 能 很 少 有 人 会 买 ， 除 非 用 户 的 需求 就 是 要 那样 。 一 个 可 信 的 分 布 式 计算 系统 需要 很 多 
安全 机 制 ， 而 不 是 仅仅 够 了 就 行 。 设 计 一 个 分 布 式 计算 系 统 有 很 多 方法 。 保 证 一 个 可 信 系 统 
所 需 的 组 件 应 该 在 系统 设计 阶段 中 进行 选择 。 一 个 可 信 计 算 环 境 必须 包含 符合 所 需 信任 级 别 
的 安全 、 可 用 性 和 性 能 组 件 。 

什么 时 候 你 知道 可 以 完全 信任 一 个 系统 ? 不 幸 的 是 ， 信 任 没有 一 个 绝对 的 测量 基准 。 即 
使 有 一 个 基准 ， 同 一 系统 信任 级 别 对 于 两 个 实现 来 说 也 可 能 有 所 不 同 。 信 任 永远 不 会 太 多 ， 
但 多 少 是 足够 ? 对 于 一 个 银行 或 者 空中 交通 控制 系统 来 说 ， 其 性 能 和 可 用 性 需求 可 能 要 比 一 
个 库存 系统 的 需求 更 加 严格 。 银 行 系统 对 精确 性 和 效率 有 很 严格 的 需求 。 根 据 系统 用 户 的 数 
目 ， 可 用 性 和 安全 需求 可 能 会 有 所 不 同 。 如 果 你 家 屋 后 的 雪 地 上 有 脚印 ， 你 会 关心 吗 ? 如 果 
你 的 房子 靠 着 一 个 运动 场 ， 你 可 能 不 会 关心 ; 但 如 果 你 的 房子 位 于 一 条 乡间 小 道上 ， 你 可 能 
会 非常 在 乎 。 现 在 ,我 们 已 经 建立 起 了 信任 的 基本 概念 ， 并 且 对 安全 有 了 一 个 定义 ， 下 面 将 
讲述 如 何在 分 布 式 计算 中 使 用 这 些 组 件 。 解 决 计算 安全 问题 的 一 个 挑战 是 围绕 这 些 安全 组 件 
来 开发 一 些 结构 并 且 开始 构建 一 个 安全 体系 结构 。 


it a ie et ee 
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原则 
标准 和 规范 
教育 

安全 

可 用 性 
性 能 





前 面 我 们 已 经 说 了 几 个 故事 ， 并 且 提 出 了 一 些 问题 ， 现 在 你 还 想 同 分 布 式 环境 打交道 
吗 ? 根据 我 们 已 经 掌握 的 知识 ， 现 在 首先 来 设计 一 个 安全 环境 。 我 们 已 经 定义 了 什么 是 分 布 
式 处 理 系统 ， 并 且 涉 及 到 了 一 些 问题 ， 现 在 要 把 这 些 知识 综合 在 一 起 。 我 们 需要 掌握 同 分 布 
式 计 算 安 全 有 关 的 一 切 知识 。 在 集中 式 系统 中 ， 安 全 可 以 主要 由 技术 应 用 来 提供 。 当 系统 分 
布 到 多 个 平台 以 及 多 个 地 点 上 时 ， 管 理 安全 组 件 就 变 得 非常 困难 。 下 面 的 内 容 将 提供 比较 安 
全 过 程 和 分 布 式 平台 组 件 的 参考 框架 。 这 些 组 件 逻 辑 地 组 合 在 该 参考 框架 中 一 一 我 们 把 该 杠 
架 称 为 安全 体系 结构 。 










坚固 持久 的 建筑 物 都 是 建 在 一 个 牢固 地 基 上 的 。 对 此 地 基 ， 我们 首先 需要 一 个 计划 ， 
从 而 使 得 现在 和 将 来 所 需要 的 一 切 都 能 支持 。 你 也 可 以 在 问题 出 现 之 后 再 给 地 基 添 加 未 
西 ， 但 那 将 是 一 个 浩大 的 工程 ! 


将 体系 结构 定义 为 实现 以 下 功能 的 虚拟 实体 : 

。 提 供 未 定义 环境 的 概念 上 的 定义 和 结构 。 

。 在 环境 内 可 以 设计 独立 组 件 。 

。 说 明 独 立 组 件 应 该 如 何 集成 进 整体 环境 中 。 

。 保证 完成 后 的 环境 符合 最 初 建立 的 虚拟 实体 。 

安全 的 目标 是 降低 企业 的 财政 风险 和 由 各 种 情况 带 来 的 损失 ， 如 入 侵 、 系 统 误 操作 、 特 
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权 滥 用 、 数 据 纂 改 、 欺 骗 以 及 服务 中 断 等 。 外 部 威胁 〈 如 黑客 攻击 、 外 敌 攻 击 以 及 犯罪 行为 
等 ) 和 内 部 威胁 (如 不 稳定 的 或 者 肆 无 鼠 蛋 的 内 部 员工 破坏 等 ) 都 需要 加 以 防备 。 另 外 ， 为 
了 人 允许 信息 技术 的 电子 化 高 效应 用 ， 安 全 基础 结构 不 可 以 禁止 先进 信息 服务 的 使 用 。 安 全 体 
系 结构 的 目的 是 产生 一 个 模型 ， 该 模型 可 以 提供 所 需 的 安全 组 件 以 及 用 于 比较 多 种 机 制 和 方 
法 的 基础 。 

安全 体系 结构 同 各 种 元 素 协 同 工 作 以 保护 信息 的 机 密 性 ， 并 且 保 证 所 有 对 计算 资源 的 访 
问 都 是 授权 和 认证 的 。 安 全 体系 结构 的 具体 目标 是 提高 分 布 式 应 用 和 信息 的 完整 性 、 一 致 性 
以 及 机 密 性 。 其 总 体 目标 是 让 分 布 式 环境 成 为 可 信 的 。 欲 达到 这 些 目标 ， 需 要 一 些 机 制 来 提 
供认 证 、 访 问 控制 或 者 授权 、 完 整 性 、 机 密 性 和 认可 。 在 安全 能 够 真正 落实 到 位 之 前 ， 所 有 
这 些 属 性 都 必须 要 得 到 保证 。 我 们 需要 能 够 信任 用 户 访问 系统 的 所 有 地 方 ， 而 不 是 仅仅 信任 
信息 和 工具 所 在 的 地 方 。 

安全 体系 结构 重要 吗 ? 这 是 一 个 老生 常 谈 的 问题 。 没 有 一 个 安全 体系 结构 不 会 导致 系统 
不 可 用 或 者 立即 被 破坏 ， 但 是 它 会 使 系统 变 得 很 脆弱 ， 一 个 误 操作 可 能 就 会 把 系统 搞 坏 。 例 
如 一 个 由 几 个 业务 单元 所 组 成 大 型 组 织 ， 其 中 每 个 单元 都 有 自己 的 安全 机 制 和 支持 系统 ， 如 
果 每 个 单元 不 遵从 一 个 公共 的 安全 体系 结构 ， 那 么 从 一 个 系统 到 另 一 个 系统 的 安全 访问 会 是 
很 困难 的 ， 甚 至 是 不 可 能 的 。 每 个 系统 可 能 有 所 需要 的 安全 ， 但 是 各 个 安全 系统 之 间 可 能 互 
相 不 兼容 ， 当 需要 进行 业务 单元 间 的 访问 时 ， 这 种 不 兼容 性 就 会 导致 问题 。 如 果 一 个 业务 单 
元 的 安全 需求 要 比 另 一 个 单元 的 高 ， 那 么 问题 尤为 突出 。 

一 个 良好 定义 的 安全 体系 结构 能 够 保证 应 用 程序 和 系统 的 设计 符合 所 需 的 安全 目标 。 安 
全 体系 结构 能 够 帮助 指导 系统 和 平台 的 选择 ， 并 且 保 证 所 有 的 系统 都 符合 一 个 标准 的 最 低 安 
全 级 别 。 把 一 个 安全 体系 结构 应 用 到 已 经 设计 好 或 者 建立 的 系统 上 是 非常 困难 的 。 安 全 体系 
结构 并 不 依赖 于 系统 体系 结构 的 存在 。 一 个 良好 定义 的 安全 体系 结构 并 不 涉及 到 技术 。 

对 于 一 个 体系 结构 ， 其 中 一 个 常见 的 组 件 是 关键 成 功 因素 的 定义 。 关 键 成 功 因素 定义 是 
为 了 完成 业务 目标 而 必须 绝对 正确 的 某 些 事物 。 安 全 体系 结构 中 的 主要 关键 成 功 因素 不 是 对 
必须 成 功 改变 的 事物 的 一 个 标识 ， 而 是 在 业务 过 程 和 结构 不 断 变化 的 情况 下 如 何 维护 业务 过 
程 的 安全 完整 性 。 


把 一 个 体系 结构 放 在 合适 的 地 方 有 助 于 理解 分 布 式 环境 。 这 将 提供 一 个 参考 点 ， 你 
可 以 使 用 它 来 挑 出 所 有 局 部 组 件 而 从 整体 上 把 握 问题 ; 并 且 这 会 提供 安全 解决 方案 的 藉 
些 一 致 性 。 


安全 体系 结构 是 由 一 些 构建 部 件 组 成 的 ， 这 些 组 件 一 起 定义 了 综合 解决 方案 的 框架 。 图 
4-1 表 示 了 一 个 安全 体系 结构 应 该 包含 的 主要 组 件 。 该 模型 是 表示 一 个 安全 体系 结构 应 该 包含 
什么 主要 组 件 的 方法 之 一 ， 并 且 它 说 明了 各 个 组 件 的 相互 位 置 关 系 。 该 模型 有 助 于 解释 这 些 
组 件 及 其 相互 关系 。 其 他 模型 或 者 表示 可 能 是 有 效 的 ， 重 要 的 是 使 用 一 个 体系 结构 方法 。 

该 模型 分 为 三 个 主要 组 件 : 基础 、 信 任 和 控制 。 基 础 是 由 组 织 定义 的 总 体 安全 原则 组 成 
的 。 它 也 包括 控制 实现 的 安全 策略 以 及 安全 机 制 的 使 用 。 如 果 选 择 了 的 话 ， 它 还 可 以 包括 具 
体 的 安全 标准 或 规范 。 信 任 层 定义 了 安全 性 、 可 用 性 以 及 性 能 三 方面 ， 这 都 是 在 分 布 式 系统 
中 建立 信任 所 必需 的 。 控 制 层 概括 了 用 来 管理 和 控制 所 需 安全 组 件 的 机 制 。 

下 面 详细 地 逐一 探讨 这 三 个 组 件 。 
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图 4-1 安全 体系 结构 模型 


4.1 基础 


安全 体系 结构 的 基本 构建 部 件 是 基础 。 它 由 公司 策略 、 原 则 的 定义 以 及 一 套 良好 定义 的 
安全 标准 和 精 选 的 规范 ( 可 选 ) 组 成 。 安 全 、 分 布 式 处 理 环境 的 建立 必须 要 在 清晰 简洁 的 指 
导 策略 的 控制 下 进行 ， 并 且 要 得 到 管理 层 的 支持 。 这 些 安全 策略 提供 了 一 个 框架 ， 这 对 在 分 
布 式 环境 中 保证 信息 资产 安全 是 非常 重要 的 。 基 础 的 另 一 个 构建 部 件 是 安全 原则 。 安 全 原则 
反映 了 组 织 的 思想 和 风格 。 安 全 标准 用 来 指定 一 个 建立 良好 的 安全 参考 规范 ， 该 规范 是 可 选 
的 组 件 。 指 定安 全 标准 也 是 可 选 的 ， 它 也 作为 体系 结构 的 一 个 基础 而 必须 存在 。 下 一 章 将 仔 
细 介 绍 基 础 的 各 个 组 件 。 


4.1.1 策略 


安全 策略 可 以 描述 为 高 级 管理 部 门 用 于 明确 组 织 目标 和 可 接受 过 程 的 一 系列 声明 。 这 些 
声明 对 每 个 独立 组 织 都 是 不 同 的 。 在 分 布 式 计算 环境 中 ， 安 全 策略 是 非常 重要 的 ， 它 用 于 保 
证 所 有 的 信息 资产 都 会 被 一 套 可 接受 的 控制 行为 所 保护 。 策 略 可 以 设置 方向 、 提 供 大 范围 的 
指导 、 表 明 管理 层 对 安全 环境 的 支持 和 承诺 。 组 织 的 过 程 定义 策略 的 实现 过 程 。 策 略 能 够 促 
进 用 户 动作 和 可 接受 行为 的 一 致 性 。 

计算 安全 策略 必须 是 完整 的 和 易于 理解 的 。 安 全 策略 的 目标 是 高 效 的 管理 风险 ， 定 义 员 
工 对 信息 资产 保护 所 承担 的 责任 ， 为 一 个 稳定 的 处 理 环境 建立 一 个 基础 ， 保 证 适用 法 规 和 规 
章 制度 的 一 致 性 ， 并 且 在 资产 误 用 、 损 失 或 者 未 经 授权 之 泄漏 的 时 候 维护 管理 选择 权 。 


4.1.2 原则 


原则 定义 了 安全 对 于 组 织 的 意义 及 其 实现 方式 。 每 个 公司 都 有 自己 独特 的 原则 。 原 则 为 
指导 同安 全 系统 组 件 和 技术 相关 的 需求 和 选择 提供 了 基础 。 如 果 公 司 原则 说 明 用 户 是 可 信任 
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的 ， 那 么 安全 策略 和 机 制 应 该 实现 为 : 明确 拒绝 对 未 授权 资源 的 访问 、 隐 含 允 许 对 其 他 人 的 
访问 。 如 果 用 户 不 是 可 信任 的 ， 那么 安全 策略 和 机 制 应 该 实现 为 :明确 允许 已 经 授权 的 访问 、 
隐 含 拒绝 其 他 人 访问 。 原 则 定义 了 组 织 对 安全 问题 的 总 体 思想 。 原 则 把 这 种 哲学 思想 翻译 成 
可 以 应 用 和 遵循 的 规则 。 


4.1.3 标准 和 规范 


安全 标准 和 规范 是 基础 中 的 可 选 组 件 。 一 个 安全 标准 是 一 个 定义 良好 的 参考 规范 ， 可 以 
应 用 到 安全 组 件 和 技术 上 。 得 到 最 广泛 承认 的 参考 规范 之 一 是 由 美国 国防 部 制定 的 可 信 计 算 
机 系统 评估 标准 (Trusted Computer System Evaluation Criteria )。 许 多 政府 系统 都 采用 此 标准 
作为 一 个 技术 选择 标准 。 

安全 标准 对 于 体系 结构 基础 的 建立 也 是 非常 重要 的 。 具 体 安全 标准 的 选择 可 能 是 对 需要 
同 组 织 外 部 进行 交互 的 系统 的 需求 。 互 连 自 动 柜员 机 的 使 用 需要 严格 应 用 和 遵循 安全 标准 。 


4.1.4 教育 


对 于 坚固 基础 来 说 ， 教 育 是 一 个 附加 组 件 。 每 个 受到 安全 体系 结构 影响 的 人 都 应 该 通过 
一 个 认识 和 教育 程序 来 学 习 安 全 体系 结构 。 组 织 应 该 有 一 个 认识 程序 来 概括 出 组 织 对 安全 的 
重视 和 承诺 ， 并 且 应 该 开发 并 维护 一 个 正规 的 教育 程序 以 辅助 那些 对 安全 机 制 和 安全 处 理 有 
责任 的 人 。 如 果 人 们 不 知道 安全 策略 的 存在 或 者 不 知道 他 们 自己 对 安全 应 承担 的 个 人 责任 ， 
那么 安全 策略 就 不 会 有 效果 或 者 就 不 会 实施 。 对 于 一 个 安全 体系 结构 来 说 ， 教 育 和 认识 程序 
要 作为 一 个 必需 组 件 来 考虑 。 


4.2 信任 


在 计算 系统 中 信任 定义 为 安全 、 可 用 性 以 及 性 能 的 综合 体 。 在 信任 建立 之 前 ， 这 三 个 组 
件 应 该 都 是 存在 的 ， 并 且 都 应 该 在 可 接受 的 范围 之 内 。 信 任 指 的 是 一 个 计算 机 系统 三 个 方面 
的 能 力 ， 进 行 处 理 保持 完整 性 、 保 持 机 密 信息 秘密 以 及 持续 进行 所 需 功 能 。 在 一 个 分 布 式 网 
络 上 建立 信任 是 很 困难 的 ， 因 为 在 这 种 情况 下 许多 因素 和 实体 都 会 影响 到 所 需要 的 安全 性 、 
可 用 性 以 及 性 能 的 获得 。 如 果 对 安全 、 可 用 性 以 及 性 能 的 需求 满足 ， 那 么 信任 就 是 安全 的 。 


4.2.1 安全 


信任 的 第 一 个 构建 部 件 是 安全 。 这 一 部 分 包含 构建 安全 分 布 式 环境 所 需 的 全 部 基本 机 制 。 
我 们 在 第 3 章 中 讲 过 ， 安 全 构建 部 件 是 由 组 件 完整 性 、 授 权 、 机 密 性 、 认 证 以 及 认可 几 个 部 分 
组 成 。 

1. 完整 性 

完整 性 保护 机 制 能 够 保护 数据 免 遭 因为 事故 或 者 因为 故意 行为 而 导致 的 破坏 (修改 、 损 
失 、 重 放 、 重 新 排序 或 者 替换 )。 数 据 可 能 会 被 故意 地 或 者 不 小 心地 破坏 ， 完 整 性 保护 机 制 能 
够 保证 任何 破坏 都 会 发 现 ， 然 后 进行 纠正 或 者 做 出 标记 以 示 提醒 。 有 很 多 方法 都 可 用 到 安全 
性 上 。 大 多 数 方法 都 涉及 到 同 数据 进行 比较 的 控制 价值 的 使 用 。 

这 些 方法 的 应 用 对 象 可 以 是 包含 在 传输 消息 中 的 数据 或 者 是 存储 在 磁盘 上 的 数据 。 消 息 
发 送 方 使 用 一 个 算法 来 处 理 数据 ， 然 后 把 结果 作为 一 个 后 级 加 在 消息 之 后 。 消 息 接收 方 使 用 
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同一 算法 来 重新 处 理 消 息 重 新 创建 测试 数据 ， 然 后 同 后 级 相 比较 。 如 果 二 者 相符 ， 那 么 就 表 
明 消息 没有 改动 。 这 种 方法 的 一 个 更 为 安全 的 变种 是 在 计算 后 组 之 前 在 消息 中 先 添加 一 些 秘 
密 数据 ， 然 后 在 发 送 消息 之 前 删除 这 些 秘 密 数 据 。 接 收 方 在 计算 后 缀 之 前 也 先 添加 同一 秘密 
数据 。 这 样 ， 后 缀 的 创建 就 不 会 完全 依赖 于 消息 中 的 数据 。 

另 一 个 需要 安全 性 的 地 方 是 系统 应 用 程序 的 操作 。 这 需要 一 些 机 制 来 控制 开发 、 修 改 和 
实现 应 用 程序 以 保证 系统 在 操作 中 的 完整 性 。 我 们 需要 确信 分 布 式 应 用 程序 本 身 不 会 进行 未 
经 授权 的 改动 。 应 用 程序 的 完整 性 应 该 受到 专门 处 理 该 问题 的 安全 策略 的 控制 。 

2. 访问 控制 

访问 控制 的 使 用 为 增强 系统 资源 使 用 授权 提供 了 一 个 方法 。 授 权 ， 也 称 做 访问 控制 ， 通 
常 是 建立 在 标识 机 制 和 认证 机 制 的 基础 上 的 。 如 果 同 一 性 得 到 认证 ， 那 么 就 会 赋予 对 资源 的 
访问 权 。 在 分 布 式 计算 中 ， 确 定 授权 的 两 个 最 常见 的 方法 是 根据 用 户 ID (结合 一 个 合法 的 密 
码 ) 和 已 认证 的 系统 ID。 

不 可 能 有 一 个 授权 解决 方案 可 以 适用 于 所 有 的 分 布 式 系统 。 授 权 是 建立 在 需求 目的 的 基 
础 之 上 的 。 关 系 型 数据 库 技术 在 数据 记录 、 元 素 和 视图 级 上 提供 了 授权 以 及 访问 控制 。 访 问 
控制 列表 (access control list，ACL ) 机 制 ， 比 如 分 布 式 计算 环境 (Distributed Computing 
Environment，DCE ) 中 的 实现 ， 为 过 程 访问 和 数据 资源 提供 了 一 个 基于 标准 的 授权 机 制 。 基 
于 系统 ID 或 者 基于 用 户 ID， 操 作 系 统 本 身 也 实现 了 多 种 类 型 的 访问 限制 。 

授权 可 以 建立 在 时 间 依 赖 、 数 据 分 类 、 角 色 或 者 用 户 职能 、 系 统 地 址 、 事 务 类 型 以 及 请 
求 服务 类 型 的 基础 之 上 。 有 时 候 在 一 个 应 用 程序 内 ， 授 权 也 在 函数 级 上 实现 ， 其 方法 是 使 用 
一 个 用 户 /函数 矩阵 。 在 分 布 式 环境 中 ， 授 权 机 制 的 管理 是 一 个 主要 的 挑战 。 

3. 机 密 性 

在 计算 机 系统 中 ， 机 密 性 指 的 是 系统 保持 机 密 电子 信息 之 秘密 并 使 其 免 遭 未 经 授权 泄漏 
的 能 力 。 机 密 性 的 实现 保证 了 信息 不 能 被 一 个 未 经 授权 的 用 户 或 者 进程 所 访问 。 保 持 信息 之 
机 密 性 的 主要 方法 是 通过 加 密 来 改变 数据 的 形式 。 现 在 有 很 多 可 用 的 网 络 ， 它 们 本 身 都 不 允 
许 我 们 对 其 操作 予以 高 级 的 信任 。 数 据 的 加 密 ， 至 少 是 用 于 认证 的 所 有 数据 ， 应 该 是 必须 进 
行 的 ， 从 而 防止 未 经 授权 的 探测 和 破坏 。 如 果 所 有 的 流量 数据 都 进行 加 密 ， 那 么 加 密 将 是 很 
慢 的 并 且 成 本 不 非 。 安 全 需求 、 网 络 和 处 理 成 本 以 及 网 络 性 能 三 者 之 间 应 该 达成 一 个 平衡 。 

4. 认证 

认证 是 唯一 标识 用 户 、 机 器 或 者 应 用 程序 并 校 验 此 标识 的 方法 。 它 是 授权 的 基础 ， 并 且 
也 是 访问 控制 和 审计 的 一 个 基本 需求 。 认 证 可 以 建立 在 你 所 知道 的 某 样 东西 ( 如 密码 )、 你 所 
拥有 的 某 样 东西 (如 一 个 电子 身份 卡 ID ) 或 者 这 些 方法 的 综合 的 基础 上 。 考 虑 认证 应 该 包括 
为 每 个 系统 /应 用 选择 一 个 独特 的 认证 机 制 或 者 在 多 个 系统 上 使 用 一 个 公共 的 认证 机 制 〈 单 一 
登录 )、 在 客户 机 -服务 器 环境 中 对 客户 机 和 服务 器 都 进行 认证 以 及 认证 过 程 的 完整 性 〈 例如 
明文 密码 )。 

5. 认可 

认可 是 对 资源 的 拥有 者 /创建 者 标识 的 完全 信任 。 认 可 指 的 是 防止 对 消息 的 发 送 、 接 收 、 
动作 处 理 进行 否认 的 能 力 。 当 有 方法 证 明 消息 或 者 动作 只 能 是 由 发 送 者 产生 的 时 候 ， 我 们 就 
可 以 提供 认可 。 认 可 有 两 个 应 用 地 方 。 源 否认 是 对 数据 产生 者 的 不 信任 ， 交 付 否认 是 对 数据 
是 否 真正 收 到 的 争执 。 在 电子 介质 中 ， 认 可 是 通过 使 用 数字 签名 来 实现 的 。 
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4.2.2 可 用 性 


可 用 性 总 是 需要 的 ， 但 是 它 通常 没 有 得 到 同安 全 性 一 样 的 重视 。 当 考虑 一 个 安全 体系 结 
构 时 ， 可 用 性 应 该 是 信任 的 一 个 重要 组 件 。 如 果 一 个 系统 在 需要 的 时 候 总 是 保持 可 用 状态 ， 
那么 你 将 会 信任 这 个 系统 。 决 定 可 用 性 的 因素 是 : 

。 持 续 性 一 一 在 物理 组 件 出 故障 的 情况 下 ， 能 够 经 受 一 次 完全 服务 中 断 并 随后 进行 恢复 的 

能 力 。 

。 持 久 性 一 一 在 分 布 式 系统 的 一 些 物理 组 件 出 故障 的 情况 下， 能够 经 受 部 分 或 者 平缓 服务 

降低 的 能 力 。 

。 恢复 一 一 在 没有 任何 人 工 干 预 的 情况 下 ， 从 一 次 完全 服务 中 断 进行 恢复 的 能 力 。 

。 一 致 性 一 一 在 给 定 相同 数据 和 相同 处 理 标准 的 情况 下 ， 能 够 产生 同一 结果 的 能 力 。 

实现 一 个 分 布 式 系统 应 该 考虑 到 可 用 性 。 对 系统 的 未 经 授权 的 攻击 可 能 会 使 可 用 性 受到 
影响 ， 并 导致 系统 资源 被 毫 无 意义 的 处 理 消耗 掉 ， 从 而 影响 合法 用 户 对 系统 的 使 用 效率 。 只 
有 系统 中 使 用 了 正确 的 机 制 来 支持 可 用 性 需求 ， 系 统 才能 看 做 是 可 信 的 。 


4.2.3 性 能 


性 能 是 信任 的 第 三 个 组 件 ， 它 对 于 分 布 式 处 理 环境 来 说 是 非常 重要 的 。 一 个 路 多 平台 的 
系统 必须 能 够 在 用 户 所 需 的 时 间 内 提供 分 布 式 处 理 结果 。 如 果 系 统 的 响应 时 间 超 过 了 可 忍受 
的 范围 ， 那 么 用 户 不 会 依赖 甚至 不 会 使 用 这 样 的 系统 。 一 个 能 够 完成 某 种 工作 的 系统 ， 如 果 
存在 性 能 问题 ， 那 么 它 不 会 使 用 。 安 全 技术 的 选择 以 及 安全 机 制 的 使 用 程度 都 会 影响 到 整体 
性 能 。 例 如 ， 数 据 事务 的 加 密 和 解密 会 延长 处 理 时间 。 如 果 一 个 系统 看 起 来 毫 无 响应 ， 那 么 
你 不 会 信任 这 样 的 系统 。 你 会 迫切 地 清除 屏幕 然后 再 次 尝试 。 


4.3 控制 


为 一 个 安全 体系 结构 和 信任 机 制 制定 了 策略 和 策略 以 后 ， 我 们 需要 考虑 一 下 如 何 对 它们 
进行 管理 。 构 成 安全 体系 结构 的 第 三 个 部 分 包含 了 用 来 控制 安全 机 制 的 功能 。 这 些 功能 提供 
了 监视 系统 之 安全 操作 的 管理 和 测量 能 力 。 这 一 部 分 中 控制 或 者 指导 标准 最 少 。 分 布 式 安全 
元 素 的 管理 和 控制 带 来 了 一 个 管理 和 安全 挑战 。 分 布 式 安全 控制 和 管理 过 程 必须 作为 整体 安 
全 体系 结构 的 一 个 必需 组 件 来 加 以 实现 。 





所 需要 的 控制 机 制 包括 : 
。 物理 访问 一 一 对 实际 计算 和 网 络 设备 访问 的 控制 。 
。 网 络 访问 一 一 对 网 络 访问 的 控制 。 





。 管 理 一 一 对 安全 机 制 的 控制 。 

。 测 量 一 安全 机 制 的 影响 以 及 例外 事件 的 潜在 探测 。 
。 监 视 和 探查 一 一 检查 破坏 行为 何 时 进行 的 能 力 。 

。 变 动 管 理 一 一 安全 机 制 变 动 的 管理 。 

。 审 计 一 一 用 于 跟踪 安全 事件 可 用 信息 的 记录 。 
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4.3.1 物理 访问 


如 果 没 有 附加 的 严格 控制 ， 对 于 那些 希望 对 系统 搞 破 坏 的 人 ， 访 问 一 个 计算 或 者 网 络 设 
备 通常 不 是 很 困难 。 一 般 来 说 ， 随 机 器 而 来 的 访问 控制 是 不 够 的 ， 或 者 没有 实现 为 支持 设备 
的 安全 使 用 。 附 加 的 访问 安全 需求 可 以 使 用 附加 设备 ( 密 钥 、 智 能 卡 、 令 牌 ) 来 实现 ， 这 样 
从 而 在 物理 上 保证 系统 或 者 设备 访问 的 安全 。 这 些 东西 可 以 用 来 局 部 证 明 某 个 个 体 应 该 具有 
访问 权 ， 或 者 在 某 些 情况 下 一 个 装置 〈 可 能 要 花 点 时 间 ) 或 者 智能 卡 可 用 来 对 用 户 进行 系统 
认证 。 更 高 的 安全 需求 可 能 会 限制 对 某 个 特殊 个 体 的 访问 ， 通 过 使 用 一 些 设备 ， 这 些 需 求 也 
可 以 得 到 满足 ， 这 些 设备 包括 指纹 扫描 器 、 视 网 膜 扫描 器 、 语 音 模 式 、 击 键 模式 以 及 签名 校 
验 设 备 等 。 


4.3.2 网 络 访问 


网 络 访问 控制 提供 了 把 网 络 访问 限定 给 那些 具有 访问 授权 的 用 户 或 者 进程 的 能 力 。 当 整 
个 网 络 处 于 公司 的 管理 和 控制 之 下 的 时 候 ， 网 络 访问 控制 是 容易 实现 的 。 然 而 ， 这 种 可 信 网 
络 并 不 是 完全 安全 的 。 对 网 络 的 访问 权 可 以 通过 分 接 通信 线路 和 监视 流量 来 获得 。 一 个 可 信 
网 络 并 不 排斥 其 他 安全 机 制 ， 如 加 密 。 当 公司 网 络 连 接 到 公共 网 上 或 者 同 其 他 网 络 互相 连接 
的 时 候 ， 它 必须 要 使 用 额外 的 控制 。 


4.3.3 管理 


分 布 式 系统 管理 是 一 个 复杂 的 问题 , 它 包括 多 种 资源 的 管理 、 任务 管理 以 及 解决 方案 结构 。 
对 于 系统 管理 员 来 说 ， 一 个 关键 挑战 在 于 每 个 分 布 式 环境 的 惟一 性 。 分 布 式 系统 在 许多 层 上 
都 需要 高 效率 的 管理 ， 其 中 包括 操作 系统 、 网 络 、 访 问 控制 机 制 、 密 钥 管 理 、 数 据 库 管 理 、 
中 间 件 以 及 网 络 操作 系统 。 管 理工 具 可 以 跨越 两 个 或 三 个 领域 ， 但 是 很 难 找到 一 个 跨越 所 有 
这 些 领域 工具 。 许 多 领域 的 管理 功能 可 能 也 是 集中 式 的 ， 但 是 不 可 能 集成 到 一 个 管理 单元 中 。 


4.3.4 测量 


测量 工具 用 来 分 析 和 报告 各 个 组 件 的 性 能 状态 ， 它 也 常常 用 来 说 明 组 件 的 使 用 情况 。 测 
量 工具 的 使 用 通常 并 不 位 于 安全 元 素 的 控制 之 下 ， 但 是 它们 对 于 探查 预期 行为 规范 之 外 的 未 
经 授权 行为 是 非常 有 用 的 。 我 们 可 以 使 用 一 些 技术 来 分 析 计算 使 用 情况 ， 以 及 对 任何 非 预期 
的 行为 进行 标识 以 指出 问题 区 域 。- 


4.3.5 监视 和 探查 | 


实现 分 布 式 安全 系统 带 来 的 另 一 个 烦人 的 问题 是 对 监视 安全 系统 的 操作 和 探查 实际 的 或 
者 潜在 的 安全 问题 的 需求 。 该 问题 有 两 个 解决 办 法 。 实 现 被 动 监视 ， 使 用 一 个 机 制 来 查看 所 
有 可 用 的 信息 并 对 所 发 现 的 任何 脆弱 点 都 进行 报告 。 使 用 一 个 动态 监视 系统 ， 主 动 训练 并 探 
查 安全 系统 以 寻找 脆弱 点 。 如 果 使 用 自动 控制 来 实现 ， 那 么 动态 系统 是 最 好 的 选择 。 


4.3.6 变动 管理 
分 布 式 处 理 环 境 的 另 一 个 挑战 是 安全 组 件 的 管理 和 维护 ， 这 些 组 件 包括 如 用 户 和 密码 列 
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表 、 访 问 控制 列表 以 及 加 密 密 钥 。 在 安全 环境 中 ， 如 要 提供 安全 机 制 的 完整 性 ， 那 么 上 述 组 
件 需 要 进行 变动 。 实 现 和 协调 跨 分 布 式 环境 的 变动 需要 一 些 过 程 和 机 制 ， 这 也 是 一 个 重要 的 
需求 。 对 于 分 布 式 安全 环境 来 说 ,管理 功能 的 安全 性 也 必须 要 考虑 到 ， 因 为 恶意 破坏 者 可 以 
操纵 这 些 功 能 来 获得 对 系统 的 非法 访问 权 。 


4.3.7 审计 


审计 可 以 分 为 两 个 领域 ， 其 中 每 个 都 有 一 个 不 同 的 着 重点 和 目的 。 每 个 安全 体系 结构 都 
应 该 包括 一 个 独立 的 和 有 见识 的 控制 机 制 评论 。 这 样 会 根据 规范 和 已 建立 的 标准 来 测量 安全 
系统 的 实现 。 第 二 个 领域 是 使 用 审计 跟踪 来 跟踪 用 户 行为 、 事 件 、 那 些 可 用 于 报告 和 控制 目 
的 以 及 那些 可 用 来 对 一 个 事件 进行 重新 构造 或 者 调查 研究 的 对 象 。 审 计 功能 的 安排 和 操作 可 
能 会 受到 性 能 和 (或 ) 成 本 问题 的 影响 。 一 个 鉴定 过 程 会 对 安全 机 制 进行 查阅 以 保证 它们 确 
实 到 位 并 且 工作 正常 。 在 安全 机 制 更 新 或 者 变动 之 后 ， 它 应 该 进行 一 次 鉴定 以 校 验 其 操作 。 


4.4 小 结 


安全 体系 结构 为 比较 一 个 分 布 式 系统 的 需求 和 多 种 实现 机 制 提供 了 一 个 参考 点 。 如 果 本 
章 所 列 出 的 所 有 组 件 都 以 合适 的 方式 得 到 实现 ， 那 么 你 就 构建 了 一 个 安全 的 分 布 式 环境 。 现 
在 我 们 有 了 一 个 好 的 计划 ， 可 以 放下 分 布 式 环境 中 的 信任 所 需 的 基础 。 

在 下 一 章 中 ， 将 讲述 安全 和 信任 的 关键 构建 部 件 。 将 对 一 个 证 固 基础 的 组 成 部 分 进行 探 
讨 ， 并 为 同 分 布 式 计算 环境 中 的 安全 和 信任 相关 的 许多 复杂 领域 提供 一 个 公共 的 起 点 。 . 


安全 策略 框架 指导 原则 
安全 标准 





前 面 我 们 探讨 了 安全 体系 结构 ， 现 在 看 一 下 体系 结构 基础 的 构成 (图 5-1 )。 体 系 结构 决 
定 了 房屋 的 外 观 和 质量 。 基 础 将 决定 房屋 的 特征 并 为 其 提供 支持 所 需 结构 的 能 力 。 基 础 也 应 
该 能 够 支持 将 来 的 改造 和 修补 。 在 安全 体系 结构 中 ， 基 础 是 由 一 些 声明 和 决策 组 成 的 ， 它 们 
描述 了 组 织 需要 什么 类 型 的 安全 环境 以 及 该 环境 必须 具有 的 属性 。 

在 本 章 中 ， 将 首先 探讨 原则 一 一 描述 组 织 属性 和 思想 的 声明 。 接 着 将 分 析 控 制 分 布 式 环 
境 所 需 的 安全 策略 。 你 会 看 到 很 多 的 “C2” 或 者 “B1” 之 类 的 字眼 ， 它 们 都 是 描述 系统 安全 
级 别 的 方法 。 这 些 级 别 用 来 比较 系统 的 安全 质量 和 参考 标准 。 我 们 看 一 下 这 些 级 别 的 定义 以 
及 它们 作为 安全 性 基础 的 含义 。 关 于 计算 机 安全 有 一 些 标准 ， 特 别 是 在 术语 定义 和 标准 方面 
尤为 如 此 。 当 牵扯 到 安全 体系 结构 时 ， 我 们 会 介绍 其 中 的 一 些 标准 。 基 础 的 组 成 还 需要 认识 
和 教育 部 分 ， 同 安全 环境 维护 有 关 的 人 员 需 要 通过 这 一 部 分 来 学 习 安 全 体系 结构 。 建 立 了 一 
个 健壮 的 基础 之 后 ， 安 全 体系 结构 的 其 他 部 分 就 可 以 安全 地 在 基础 之 上 进行 构建 了 。 

在 本 章 中 ， 将 探讨 基础 的 组 件 以 及 基础 如 何 支持 安全 体系 结构 的 其 他 部 分 。 前 面 已 经 说 
过 ， 安 全 体系 结构 的 基础 是 建立 在 一 套 组 织 已 经 制定 或 者 应 该 制定 的 决策 或 声明 之 上 的 。 组 
织 参 考 这 些 决策 和 声明 来 开发 体系 结构 的 细节 、 安 全 策略 集 以 及 安全 标准 标识 。 这 些 决策 和 
声明 应 该 回答 如 下 问题 (并非 全 部 ): 

。 组 织 需要 保护 什么 ? 

。 组 织 的 安全 思想 是 什么 ? 

。 应 该 遵循 什么 标准 ? 
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。 员 工 有 权 访 问 所 有 的 信息 吗 ? 
。 谁 负责 安全 ? 





图 5-1 安全 体系 结构 基础 


5.1 原则 


安全 原则 是 对 公司 价值 、 业 务 或 者 信念 的 声明 ， 它 依次 定义 或 者 影响 安全 体系 结构 的 所 
有 元 索 。 原 则 集合 反映 了 组 织 对 安全 的 哲学 思想 ， 安 全 体系 结构 和 安全 策略 都 在 其 基础 上 进 
行 开 发 。 安 全 策略 和 过 程 应 该 依次 在 反映 公司 思想 的 业务 原则 、 声 明 的 基础 上 进行 构建 。 原 
则 应 该 是 完整 的 ， 并 且 应 该 是 易于 理解 和 执行 的 。 原 则 是 驱动 着 安全 框架 的 价值 、 操 作 或 信 
念 的 声明 。 原 则 可 以 看 做 是 安全 策略 和 过 程 必 须 遵循 的 规则 。 下 面 是 一 些 声明 类 型 示例 ， 几 
乎 所 有 的 组 织 都 会 把 它们 列 为 原则 : 
“数据 是 一 项 公司 资产 ， 它 必须 在 公司 范围 内 进行 管理 。 
“组 织 应 提供 足够 的 安全 和 业务 控制 以 保护 数据 ， 同 时 管理 部 门 应 进行 风险 评估 。 
“数据 是 离散 信息 的 表示 ， 信 息 是 决策 制定 数据 的 一 个 汇集 。 
“公司 应 提供 足够 的 安全 和 业务 控制 以 保护 数据 ， 同时 管理 部 门 应 进行 风险 评估 。 这 些 控 
制 应 定义 一 个 可 用 于 所 有 系统 的 最 小 标准 ， 并 提供 一 个 系统 测量 标准 。 
“信息 的 拥有 者 、 提 全 者、 用 户 以 及 同 信息 安全 相关 的 其 他 人 员 所 承担 的 责任 和 义务 必须 
是 明确 的 。 
“与 信息 安全 相关 的 拥有 者 、 提 供 者 、 用 户 以 及 其 他 人 员 必 须 能 够 迅速 获得 同安 全 策略 、 
实践 以 及 过 程 的 存在 和 扩展 相关 的 知识 。 
“安全 测量 、 实 践 以 及 过 程 不 应 该 明显 的 降低 授权 用 户 对 公司 资源 的 使 用 效率 。 这 些 测量 、 
实践 和 过 程 应 该 协调 并 统一 起 来 以 创建 一 个 连贯 的 安全 系统 。 
“对 具体 信息 系统 来 说 ， 根 据 其 价值 和 重要 性 ， 安 全 需求 会 有 所 不 同 。 安全 实践 和 过 程 应 
该 同 信息 系统 的 价值 和 企业 对 其 依赖 程度 相 一 一 致 。 这 些 策略 应 该 直接 和 间接 地 同 潜在 危害 的 
严重 性 、 可 能 性 以 及 危害 程度 相称 。” 
“信息 的 拥有 者 、 提 供 者 、 用 户 以 及 公司 的 管理 部 门 必须 要 及 时 配合 ， 预 防 、 检 查 并 响应 
安全 漏洞 。 
“信息 的 安全 性 必须 要 定期 进行 重新 评估 ， 同时 要 考虑 技术 和 业务 需求 的 变化 。 
“安全 策略 、 标 准 以 及 过 程 应 该 建立 起 来 以 用 做 信息 安全 活动 的 管理 计划 、 控制 和 评估 的 
一 个 基础 。 
有 一 些 原则 依赖 于 组 织 的 具体 思想 和 文化 。 某 些 组 织 可 能 默认 信任 所 有 员工 或 者 在 一 个 
严格 的 需要 知道 的 基础 上 授予 权限 。 例 如 ， 有 的 组 织 可 能 把 原则 定义 为 对 敏感 信息 专门 赋 子 
访问 权限 ， 黑 认 拒绝 所 有 其 他 访问 ;而 有 的 组 织 则 恰恰 相反 ， 明确 拒绝 对 敏感 信息 的 访问 ， 
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默认 允许 所 有 其 他 访问 。 原 则 会 影响 到 安全 机 制 的 实现 。 下 面 是 几 个 声明 类 型 示例 ， 对 每 个 
组 织 来 说 ， 它 们 可 能 不 尽 一 致 ; 

“信息 安全 途径 应 该 使 用 小 且 简单 的 保护 机 制 以 提供 所 需 的 安全 级 别 ， 而 不 应 该 使 用 大 的 
或 者 复杂 的 。 

“公司 员工 应 该 赋予 足够 的 特权 以 完成 所 派 的 任务 。 为 了 公司 的 正常 业务 处 理 ， 公 司 应 该 
对 员工 的 信息 资源 使 用 保持 信任 。 

“公司 的 安全 策略 应 该 放 在 分 布 式 计算 环境 的 中 心 位 置 。 


5.2 安全 策略 框架 


安全 分 布 式 处 理 环境 的 建立 必须 要 在 管理 部 门 所 支持 的 清晰 简洁 的 声明 基础 上 进行 。 安 
全 策略 提供 了 一 个 对 于 分 布 式 处 理 环境 非常 重要 的 框架 ， 其 目的 在 于 保证 公司 的 信息 资产 能 
够 在 一 个 指导 策略 的 控制 之 下 保持 安全 。 安 全 框架 定义 了 安全 策略 ， 它 能 够 为 安全 测量 的 实 
现 和 维护 提供 指导 ， 从 而 保护 组 织 的 信息 资产 。 安 全 框架 应 该 提供 指导 和 概括 责任 ， 而 不 是 
定义 过 程 或 者 处 理 。 安 全 策略 框架 的 目标 是 高 效率 的 管理 风险 ， 明 确 员 工 的 信息 资产 保护 责 
任 ， 为 一 个 稳定 的 处 理 环境 建立 一 个 基础 ， 保 证 同 可 实施 的 法 规 和 制度 的 相 容 性 ， 以 及 在 出 
现 资产 误 用 、 损 失 或 者 未 经 授权 泄漏 时 维护 管理 选择 权 。 

安全 框架 必须 是 开放 式 的 以 进行 连续 的 开发 和 更 新 。 有 许多 原因 可 以 解释 实现 一 个 安全 
框架 以 及 用 于 框架 管理 的 处 理 是 非常 必要 的 。 同 其 他 组 织 的 采集 、 合 并 、 合 作 或 者 交互 都 可 
能 会 给 安全 策略 或 者 标准 带 来 问题 。 组 织 所 选择 的 策略 和 标准 不 可 能 照顾 到 环境 的 所 有 方面 ， 
因为 环境 会 变化 ， 所 以 这 些 策略 和 标准 会 不 断 地 分 析 和 更 新 。 

安全 策略 框架 的 成 功 可 以 通过 关键 成 功 因素 来 进行 测量 。 这 些 因素 定义 成 一 些 标准 ， 安 
全 策略 框架 应 该 绝对 成 功 实现 这 些 标准 。 关 键 成 功 因素 包括 高 级 管理 部 门 对 安全 策略 和 标准 
的 承诺 和 支持 ， 用 户 群 对 策略 和 标准 的 认识 ， 保 持 策略 和 安全 标准 的 技术 独立 性 ， 策 略 的 可 
读 性 和 明确 性 ， 以 及 策略 和 安全 标准 在 安全 体系 结构 中 的 集成 。 

信息 资产 指 的 是 信息 以 及 用 来 访问 、 处 理 和 传递 信息 的 资源 。 安 全 框架 应 该 应 用 到 支持 
组 织 业务 活动 的 所 有 信息 资产 和 服务 上 。 信 息 资产 包括 数据 、 图 像 、 文 本 、 语音 、 视频 、 任 
何 信息 处 理 设备 〈 如 大 型 机 、PC、 打 印 机 入 介质 《如 磁 玲 、 磁带 )、 网 络 、 支持 工具 以 及 信 
息 处 理 服务 。 

安全 策略 提供 了 安全 基本 结构 的 基础 。 如 果 没有 正规 的 策略 ， 那 么 让 用 户 为 其 行为 负责 
是 非常 困难 的 。 策 略 提供 重要 的 指导 以 帮助 不 断 增加 的 组 织 间 互 过 和 合并 。 策 略 和 过 程 是 独 
立 于 技术 的 。 组 织 的 策略 和 过 程 必须 是 可 实施 的 以 及 易于 理解 的 。 

策略 通常 存在 于 具有 数据 分 类 、 标 识 、 授 权 、 认 证 和 数据 级 别 的 地 方 。 策 略 也 为 组 织 内 
和 组 织 间 的 关系 和 责任 提供 指导 。 我 们 将 详细 探讨 需要 考虑 的 主题 和 策略 开发 过 程 。 我 们 假 
定安 全 框架 策略 不 会 涉及 到 员工 的 行为 ， 那 是 其 他 行为 标准 或 者 其 他 业务 策略 所 处 理 的 问题 。 


5.3 安全 标准 


安全 标准 的 定义 (和 原则 ) 是 安全 体系 结构 基础 的 第 二 个 主要 部 件 。 安 全 标准 指 的 是 对 
一 个 安全 环境 所 需 属性 的 确定 和 定义 。 这 些 属性 可 以 分 成 几 类 ， 它 们 为 安全 组 件 和 机 制 的 产 
生 和 过 程 选择 提供 了 基础 。 安 全 标准 为 安全 组 件 、 技术 功能 、 业 务 处 理 的 评估 提供 了 一 个 参 
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考 规范 。 安 全 标准 定义 了 所 需要 的 安全 功能 集 ， 它 是 独立 于 平台 或 厂商 的 。 不 同 的 业务 领域 
或 者 不 同 的 计算 系统 需要 不 同 的 安全 类 型 。 在 互联 的 分 布 式 平台 上 提供 系统 和 服务 需要 仔细 
选择 技术 和 产品 ， 而 安全 标准 则 直接 影响 到 所 做 的 选择 。 

当前 有 几 个 看 做 是 工业 标准 的 标准 安全 规范 ， 但 是 其 中 大 多 数 都 是 适用 于 军事 系统 的 。 
美国 国防 部 和 国家 计算 机 安全 中 心 已 经 编著 了 很 多 有 关 计 算 机 安全 方面 的 书籍 ， 这 些 书 分 别 
针对 于 计算 机 安全 的 几 个 不 同方 面 ， 其 中 每 一 本 都 由 一 个 不 同 的 颜色 来 标识 。 可 信 计 算 机 系 
统 评估 标准 (Trusted Computer System Evaluation Criteria，TCSEC ) 桔 皮 书 提供 了 一 个 广泛 
认可 的 框架 ， 系 统 厂商 都 以 此 为 基础 来 构建 其 产品 的 安全 组 件 。 可 信 计 算 机 系统 评估 标准 中 
的 可 信 网 络 说 明 (Trusted Network Interpretation，TNI ) 红皮书 对 桔 皮 书 做 了 扩展 ， 它 提供 了 
棱 皮 书 应 该 如 何在 网 络 环境 中 解释 的 详细 指导 。 红 皮 书 也 描述 了 适用 于 网 络 环境 的 附加 安全 
服务 。 欧 洲 计算 机 制造 商 协会 (European Computer Manufacturers Association，ECMA ) 定义 
了 一 个 更 为 商业 化 的 面向 安全 的 标准 。 开 放 式 系统 组 织 X/OPEN 已 经 着 手 定义 操作 系统 安全 功 
能 的 最 小 集合 ， 该 功能 集 要 包括 到 带 有 X/OPEN 商 标的 系统 中 。 

1. 可 信 计 算 机 系统 评估 标准 ( 桔 皮 书 ) 

美国 国家 计算 机 安全 中 心 (U.S. National Computer Security Center ) 已 经 在 一 个 称 做 桂皮 
书 的 文档 中 定义 了 对 安全 分 类 的 一 个 描述 和 需求 。 该 文档 可 以 用 于 评估 商业 产品 ， 其 评定 和 
分 类 结果 公布 到 一 个 受 评估 产品 列表 中 。 各 种 部 门 和 机 构 都 采用 该 列表 来 比较 不 同 产 品 的 安 
全 性 能 和 组 件 。 对 组 织 具体 安全 分 类 的 判断 为 需求 的 定义 和 安全 产品 及 机 制 的 评估 提供 了 一 
个 基础 标准 。 | 

可 信 计 算 机 系统 评估 标准 中 定义 的 桔 皮 书 分 类 主要 着 眼 于 军事 和 政府 部 门 对 分 类 信息 机 
密 性 的 需求 ， 但 是 它 也 能 为 一 般 的 安全 技术 途径 提供 指导 。 市 场 上 的 许多 操作 系统 都 是 “C2” 
认证 或 者 “C2” 兼容 的 。 二 者 区 别 是 ， 被 认证 的 系统 已 经 通过 了 一 个 官方 认证 过 程 ， 而 兼容 
系统 虽 具 有 该 分 类 定义 的 所 有 功能 但 却 没有 进行 过 认证 。 一 般 来 说 ,“C2 应 该 是 企业 中 每 个 
系统 所 应 达到 的 最 低 分 类 标准 。 表 5-1 概 括 了 桔 皮 书 中 定义 的 各 个 安全 分 类 。 

表 5-1 ITSEC 桔 皮 书 安全 标准 规范 


Nm 和 mn -一 一 一 -一 
类 别 说 明 
无 任何 不 满足 A、B、C 分 类 要 求 的 系统 


Cl 任意 安全 保护 ， 系统 具 有 某 种 形式 的 基于 个 体 的 有 限 访问 控制 功能 。 用 户 决定 实施 何 种 保护 ， 
如 UNIX 文 件 许可 

C2 受 控 访问 保护 ， 本 类 系统 比 C1 系统 具有 更 严格 的 访问 控制 ， 通 过 登录 程序 、 事 件 审计 以 及 资源 
隔离 等 措施 从 而 使 得 用 户 可 以 独立 地 为 其 行动 负责 

B1 标记 的 安全 保护 : 除了 C2 级 别 所 需 的 全 部 功能 以 外 ， 本 级 别 还 需要 一 个 安全 策略 模型 的 非 正 式 
声明 、 数 据 标记 以 及 对 命名 主体 和 对 象 的 强制 访问 控制 。 系 统 实施 某 种 形式 的 保护 ， 该 保护 不 受 
你 控制 

B2 结构 化 的 保护 ， Bl 中 的 全 部 控制 都 扩展 到 了 系统 中 的 所 有 主题 和 对 象 之 上 。 另 外 ， 本 级 别 还 涉 
及 到 转化 通道 

B3 安全 域 ， 必 须 满足 参考 监视 需求 。 该 需求 转交 主题 对 对 象 的 所 有 访问 。 它 可 以 防止 竺 改 ， 并 且 
足够 小 以 进行 测试 和 分 析 

Al 已 校 验 的 设计 : 等 价 于 B2 级 别 ， 但 用 户 必须 证 明 安全 模型 及 (或 ) 其 实现 是 安全 的 

A+(2) 已 校 验 的 实现 ， 大 量 的 校 验方 法 、 可 信 设 计 环境 以 及 高 级 测试 过 程 


“B” 级 安全 类 别 主要 用 于 军事 系统 ， 但 是 在 某 些 情况 下 它 也 适用 于 商业 系统 。“B1” 类 
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别 是 需要 安全 保护 的 敏感 数据 及 应 用 的 目标 。 有 些 特 殊 的 应 用 和 数据 需要 B2 级 别 实现 对 主机 
或 者 服务 器 上 的 所 有 组 件 进行 高 级 保护 。 安 全 分 类 B1 级 需要 强制 的 访问 控制 并 对 输出 的 信息 
进行 标记 。C2 级 为 受 控 访问 保护 建立 了 一 个 基础 ， 这 种 受 控 访问 保护 为 分 布 式 平台 上 的 选择 
提供 了 指导 。 一 个 已 标识 的 安全 标准 分 类 为 那些 可 以 在 分 布 式 平台 上 评估 选择 以 及 实现 的 
安全 机 制 建立 了 一 个 公共 基础 。 

2. 面向 商业 功能 分 类 

欧洲 计算 机 制造 商 协会 在 其 发 布 标准 205 一 一 面向 商业 功能 分 类 ( Commercially Oriented 
Functionality Class，COFC ) 中 文档 化 了 另 一 个 安全 实施 功能 和 定义 规范 。 该 标准 主要 面向 商 . 
业 市 场 和 多 用 户 独立 IT 系 统 。 有 关 网 络 和 分 布 式 处 理 的 规范 正在 开发 中 。 

COFC 标 准 为 商业 市 场 定 义 一 个 可 广泛 接受 的 基本 安全 功能 分 类 。 该 标准 有 别 于 桔 皮 书 ， 
但 是 它 同 TCSEC 趋 向 融合 。COFC 标 准 的 描述 方式 同 TCSEC 一 致 。COFC 也 可 用 做 安全 术语 定 
义 基础 。 

3. X/Open 基 线 安全 服务 

X/Open 是 一 个 在 1984 年 建立 的 组 织 ， 其 目的 是 为 开放 式 系统 产品 协调 需求 和 标准 。 遵 循 
该 组 织 定 义 标 准 的 产品 可 以 使 用 X/Open 商标 。X/Open 组 织 已 经 定义 了 一 个 分 布 式 安全 框架 ， 
它 可 用 来 指导 开放 式 系统 的 安全 技术 开发 。X/Open 基 线 安全 服务 (X/Open BASELINE 
Security Services, XBSS ) 规范 定义 了 开放 式 系统 必须 提供 的 安全 相关 功能 的 最 小 集合 以 及 开 
放 式 系统 安全 相关 参数 的 默认 设置 。XBSS 规 范 是 X/Open 商标 过 程 的 一 部 分 ， 它 可 以 对 支持 
安全 的 系统 进行 商标 化 。 厂 商 提供 的 许多 操作 系统 没有 打开 安全 功能 。 在 这 些 功能 打开 之 前 ， 
系统 将 会 无 安全 运行 。XBSS 为 厂商 获得 其 产品 中 所 包括 的 安全 功能 认可 提供 了 一 个 方法 。 


5.3.1 标准 


安全 组 件 和 安全 方法 的 标准 选择 也 是 安全 体系 结构 基础 的 一 部 分 。 我 们 需要 为 安全 体系 
结构 的 定义 和 通用 组 件 选 择 已 经 建立 的 标准 。 现 在 还 不 是 确定 技术 标准 的 时 候 。 前 面 提 到 过 ， 
安全 体系 结构 不 应 该 依赖 于 技术 。 当 到 了 定义 基于 安全 体系 结构 的 安全 解决 方案 的 时 候 ， 策 
略 、 原 则 以 及 安全 标准 的 建立 将 会 包括 技术 标准 。 下 面 是 一 些 可 用 的 标准 选择 。 在 确定 安全 
体系 结构 的 时 候 ， 它 们 可 能 会 有 用 。 

1. 原则 

在 会 计 学 里 ， 有 一 种 称 做 通常 公认 的 会 计 实 践 (Generally Accepted Accounting Practices ) 
的 声明 。 这 些 声明 为 两 个 组 织 间 会 计 实 践 的 比较 提供 了 一 个 基础 。 与 此 类 似 ， 信 息 系统 安全 
协会 ( Information Systems Security Association ) 及 其 他 相关 组 织 定 义 了 一 个 通常 公认 的 系统 
安全 原则 ( Generally Accepted System Security Principles，GSSP )。 1994 年 出 版 的 一 份 报 告 中 
提供 了 定义 和 推荐 框架 ， 并 且 概 括 了 信息 安全 专业 人 员 和 信息 处 理 产品 应 该 遵循 的 原则 。 
GSSP 文 档 概括 了 17 条 原则 ， 它 们 可 以 对 一 个 组 织 的 安全 原则 开发 工作 提供 指导 。 

2. 策略 

现在 没有 同 策略 或 者 过 程 的 开发 相关 的 标准 。 策 略 题目 及 其 内 容 的 选择 因 组 织 而 异 。 美 
国 国防 部 和 国家 计算 机 安全 中 心 提出 的 TCSEC 中 的 红皮书 为 策略 标准 提供 了 一 些 指导 。 

。 桔 皮 书 ， 可 信 计 算 机 系统 评估 标准 (Trusted Computer System Evaluation Criteria )。 

。 红 皮 书 : 可 信 网 络 说 明 ( Trusted Network Interpretation )。 
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。 绿 皮 书 : 密码 管理 指导 (Password Management Guide )。 
。 蓝皮书 : 个 人 计算 机 安全 考虑 ( Personal Computer Security Considerations )。 
。 褐 皮 书 : 可 信和 数据 库 管理 系统 说 明 (Trusted DBMS Interpretation )。 
。 黄皮书 : 可 信 环 境 说 明 (Trusted Environment Interpretation )。 
3. 定义 
安全 体系 结构 标准 ISO/IEC 7498-2， 信 息 技术 一 一 开放 式 系统 互联 一 一 基本 参考 模型 一 一 
第 2 部 分 ， 安 全 体系 结构 〈 也 称 做 ITU-T Recommendation X.800 )， 为 用 于 标准 定义 的 术语 提供 “ 
了 正式 的 定义 。 当 定义 和 说 明 安全 组 件 时 ， 应 该 使 用 这 套 定义 来 建立 一 个 公共 框架 或 者 参考 。 
4. 物理 安全 
当前 ， 这 一 领域 只 有 一 个 标准 ， 美国 国家 通信 安全 指令 5100A ( National Communication 
Security Instruction 5100A，NACSIM 5100A ) 中 制定 的 风暴 标准 ( Tempest standard )。 该 标 
准 适 用 于 可 以 通过 使 用 计算 机 设备 进行 电子 侦 听 来 获取 信息 的 环境 。 风 暴 参考 包含 或 者 抑制 
电子 设备 的 信号 发 射 技术 ， 并且 指定 了 人 允许 的 电子 设备 发 射 限制 。 根 据 风 暴 标 准 制造 的 产品 
如 果 要 出 口 到 美国 之 外 ， 那 它 必须 要 有 美国 国务 院 的 军需 控制 办 公 室 授予 的 相关 输出 许可 。 
风暴 标准 文档 (NACSIM 5100A 和 NACSI 5004 ) 是 自身 分 类 的 ， 它 只 在 一 个 需要 知道 的 基础 
上 才 可 用 。 
5. 安全 管理 
SNMP 标 准 的 第 二 版 中 包括 了 RFC 1351: 管理 模型 ( Administration Model ) ; RFC 1352: 
安全 协议 (Security Protocols ) ; 以 及 RFC 1353: 用 于 SNMP 用 户 管理 的 受 管理 对 象 的 定义 。 
这 些 标准 保证 了 网 络 管理 通信 的 认证 和 保密 。 认 证 保证 了 消息 的 正确 源 ， 保 密 则 保护 消息 免 
遭 泄漏 。 
6. 监视 和 探查 
OSI 标 准 ，ISO/IEC 10164-7 (X.736 )， 安 全 警报 报告 功能 ， 列 举 了 14 个 安全 警报 类 型 及 
其 可 能 的 原因 。 例 如 ， 如 果 有 人 尝试 在 调度 时 间 段 之 外 执行 一 个 操作 ， 那么 这 就 会 产生 一 个 
时 间 域 违背 。 
7. 审计 
审计 过 程 和 机 制 方面 几乎 没有 什么 标准 。DCE RFC 29.0 为 DCE 审 计 子 系统 的 设计 概括 了 
实现 规范 。OSI 标 准 ISO/IEC 10164-8 (X.740 ) 一 一 安全 审计 跟踪 功能 〈 Security Audit Trial 
Function ) 定义 了 审计 跟踪 记录 和 生成 该 记录 类 型 的 事件 类 别 。 
8. 认证 
”认证 标准 是 ISO 在 ISO/AEC 10181-2 (X.811 ) 一 一 认证 框架 ( Authentication Framework ) 
和 ISO/AEC 9594-8( 义 .509 ) 一 一 目录 认证 框架 (Directory Authentication Framework ) 中 提出 
的 。X.811 标 准 解释 了 描述 认证 原则 和 体系 结构 的 术语 ， 并 解释 了 一 个 用 于 不 同 认证 交换 机 制 
的 高 级 分 类 方案 。X.509 标 准 使 用 密码 或 者 公 钥 加 密 的 X.500 目 录 认 证 。 
9. 访问 控制 
ISO/ICE 10181-3 (X.812 ) 一 一 访问 控制 (Access Control ) 为 在 分 布 式 环境 中 提供 访问 
控制 提供 了 术语 和 体系 机 构 模 型 。 
10. 机 密 性 
ISO/IEC 10181-5 (X.814 ) 一 一 机 密 性 框架 (Confidentiality Framework ) 描述 了 提供 机 
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密 性 所 需 的 术语 和 机 制 。 该 标准 是 ISO 开 放 式 系统 互联 一 一 基本 参考 模型 一 一 第 2 部 分 ， 安 全 
体系 结构 (ISO Open System Interconnection 一 一 Basic Reference Model 一 一 Part 2: Security 
Architecture ) 的 一 个 组 成 部 分 。ISO/IEC 10181-6 (X.815 ) 一 一 完整 性 框架 (Integrity 
Framework ) 为 提供 完整 性 服务 所 需 的 定义 和 规范 进行 了 文档 化 。 





11. 认可 

ISO/IEC 10181-4 (X.813 ) 一 一 认可 框架 ( Nonrepudiation Framework ) 为 在 分 布 式 环 境 
中 提供 认可 提供 了 术语 和 体系 结构 模型 。 

12. 鉴定 


计算 机 安全 认证 和 鉴定 指导 (the Guidelines for Computer Security Certification and 
Accreditation ) 是 一 个 来 自 联 邦 信息 处 理 标准 发 布 (Federal Information Processing Standards 
Publications，FIPS PUBS #102 ) 的 文档 。 该 文档 包含 了 为 安全 系统 的 认证 和 鉴定 建立 一 个 程 
序 所 需要 的 信息 。 


5.3.2 指导 原则 


对 一 个 综合 的 分 布 式 安全 环境 ， 指 导 原 则 是 个 重要 的 组 件 ， 但 是 它 不 考虑 为 安全 体系 结 
构 的 一 部 分 。 指 导 原则 是 应 用 到 原则 、 策 略 和 特殊 领域 标准 之 上 的 文档 化 的 实现 过 程 和 程序 。 
原则 、 策 略 和 标准 在 体系 结构 定义 的 范围 内 保持 一 致 。 指 导 原则 为 这 些 元 素 如 何 应 用 到 具体 
平台 或 技术 上 提供 了 详细 的 指导 。 例 如 ， 一 个 策略 可 能 为 分 布 式 环境 中 的 授权 定义 目的 、 范 
围 以 及 一 致 性 需求 。 具 体 的 指导 原则 将 来 定义 说 明 授权 功能 如 何在 具体 平台 上 实现 。 指 导 原 
则 是 策略 和 原则 所 定义 的 安全 法 规 和 规则 的 理论 定义 同 实际 应 用 机 制 之 间 的 转换 。 每 个 使 用 
不 同 技术 基础 的 平台 可 能 有 不 同 的 指导 原则 的 实现 。 


5.4 小 结 


就 如 同一 个 坚固 耐劳 的 房子 一 样 ， 一 个 构建 良好 的 分 布 式 安全 系统 也 应 该 建立 在 一 个 牢 
固 的 基础 上 。 基 础 的 一 些 组 件 会 因 组 织 而 不 同 。 一 个 深思 熟 虑 的 基础 在 一 个 分 布 式 环境 中 要 
比 在 一 个 集中 式 环境 中 更 为 重要 。 基 础 是 体现 一 个 组 织 决 定 其 安全 思想 的 地 方 。 这 些 决定 不 
应 该 在 信息 技术 系统 有 了 大 变化 的 时 候 就 必须 改变 。 应 分 析 为 一 个 集中 式 环境 建立 的 任何 原 
则 和 策略 对 于 一 个 分 布 式 环境 的 适用 性 。 在 下 一 章 中 ， 将 讨论 一 下 组 织 如 何 通过 一 个 正规 的 
计算 策略 来 向 员工 提供 指导 从 而 建立 正确 的 环境 。 


用 户 策略 
需要 策略 吗 ? 其 他 策略 
基本 的 安全 元 素 软件 版 权 策略 
策略 相关 数据 责任 
个 人 使 用 策略 安全 策略 指南 
安全 管理 策略 认识 和 教育 
安全 管理 策略 过 程 实现 

略 





前 一 章 中 已 经 提 到 ， 安 全 策略 是 用 来 构建 安全 体系 结构 基础 的 最 重要 的 组 件 。 安 全 策略 
通常 是 一 个 受到 关注 的 领域 ， 特 别 是 当 读 者 有 自己 的 看 法 时 。 但 是 一 个 实现 拙劣 的 策略 通常 
不 能 覆盖 到 分 布 式 环境 所 涉及 到 的 所 有 方面 ， 并 且 不 能 实现 预期 的 目标 。 组 织 需 要 使 用 一 个 
方法 来 建立 一 个 正确 的 结构 ， 该 结构 应 该 涉及 到 综合 策略 中 的 可 接受 的 行为 、 权 利和 义务 。 
该 结构 应 该 辅助 同安 全 相关 的 行为 ， 它 可 以 设置 方向 、 为 公司 提供 指导 、 说 明 高 级 管理 支持 。 

在 任何 计算 环境 中 ， 安 全 策略 都 是 非常 重要 的 ， 这 可 以 保证 企业 的 所 有 信息 化 资产 都 是 
安全 的 。 在 分 布 式 环境 中 ， 安 全 策略 可 以 说 是 至 关 重要 。 在 这 种 情况 下 ， 企 业 的 信息 资产 可 
能 分 布 在 多 个 平台 和 多 个 地 域 中 。 策 略 不 仅 保护 着 信息 的 机 密 性 ， 它 还 保护 着 信息 的 可 用 性 、 
信息 的 使 用 、 所 提供 信息 的 真实 性 以 及 信息 的 完整 性 。 一 个 安全 策略 实际 上 是 处 理 具 体 领 域 
或 者 具体 方面 的 独立 策略 的 集合 。 这 些 可 以 看 做 是 在 第 5 章 中 提 到 过 的 安全 框架 。 

安全 策略 适 于 的 位 置 

在 第 5 章 中 ， 概 述 了 对 一 个 牢固 基础 的 需要 。 基 础 包括 公司 原则 和 安全 策略 。 图 6-1 说 明 
了 决策 和 方向 流 如 何 导 致 安全 策略 和 指导 原则 的 定义 。 公 司 原则 导致 了 公司 业务 守则 的 定义 。 
原则 反映 了 公司 的 思想 ， 而 业务 守则 把 这 些 原则 转化 为 员工 自我 管理 的 预期 方式 。 如 果 原 则 
表明 公司 以 一 种 合乎 道德 的 方式 来 进行 业务 ， 那 么 业务 守则 就 会 概括 出 员工 如 何 实现 此 目标 。 
安全 策略 使 用 原则 和 业务 守则 为 基础 来 构建 处 理 安 全 问题 的 具体 公司 策略 。 这 些 策略 会 依次 
提供 对 指导 原则 定义 的 输入 ， 指 导 原 则 定义 了 安全 策略 的 实现 方式 。 


一 一 一 一 
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需要 安全 策略 吗 

实事 求 是 地 说 ， 没 有 安全 策略 不 会 使 一 个 公司 无 法 运营 。 如 果 不 出 现 安全 事故 或 者 安全 
危机 ， 那 么 策略 对 于 公司 的 价值 可 能 是 不 明显 的 。 在 许多 情况 下 ， 策 略 因为 一 个 具体 问题 或 
者 作为 一 个 定期 审计 的 结果 而 被 摆 上 台面 。 对 每 个 公司 来 说 ， 其 需要 策略 的 地 方 会 不 同 ， 这 
与 公司 的 业务 类 型 有 关系 。 组 织 对 业务 处 理 的 信息 系统 越 依赖 ， 它 对 健壮 策略 的 需要 就 越 大 。 
如 果 公司 的 客户 或 者 业务 伙伴 也 依靠 你 的 信息 系统 ,那么 这 一 点 尤为 正确 。 
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图 6-1 策略 适用 的 地 方 


如 果 一 个 组 织 没有 一 个 安全 策略 ， 那 么 在 出 现 明显 违背 组 织 原 则 的 行为 的 时 候 ， 该 组 织 
可 能 对 其 无 能 为 力 。 例 如 ， 当 一 个 员工 利用 组 织 的 计算 资源 来 处 理 私人 业务 的 时 候 。 这 可 以 
认为 同 组 织 的 目标 相 冲 突 。 组 织 需 要 有 一 个 公司 策略 来 表明 这 类 行为 是 不 允许 的 ， 组 织 的 任 
何 资源 使 用 都 建立 在 该 策略 之 上 。 否 则 ， 员 工 可 能 会 不 守 纪 律 而 非法 使 用 组 织 资源 。 然 而 ， 
组 织 可 能 允许 一 个 个 体 使 用 其 计算 资源 以 支持 一 个 非 营 利 或 者 慈善 组 织 ， 如 一 个 体育 俱乐部 
或 者 本 地 食品 储备 等 。 在 这 种 情况 下 ， 组 织 应 该 使 用 一 个 策略 来 标明 什么 是 允许 的 、 什 么 是 
不 允许 的 以 及 这 些 行为 是 如 何 标识 和 授权 的 。 
组 织 可 能 需要 一 些 策略 来 合法 地 保护 公司 不 会 受到 员工 行为 的 影响 。 如 果 组 织 没有 
一 个 控制 策略 来 定义 什么 是 可 接受 的 或 者 不 可 接受 的 ， 那 么 组 织 就 不 可 能 对 一 个 同安 全 
相关 的 事件 进行 法 律 追究 。 









因特网 是 一 个 热点 。 大 量 的 组 织 都 使 用 因特网 进行 了 互联 。 它 也 是 推动 组 织 使 用 特殊 安 
全 策略 的 一 个 重要 原因 。 如 果 组 织 连 上 了 因特网 ， 那 么 员工 在 因特网 世界 上 可 以 代表 组 织 。 
这 可 以 通过 电子 邮件 地 址 或 者 信息 张贴 反映 出 来 。 组 织 需 要 员工 使 用 因特网 以 完成 合法 业务 
目的 ， 并 且 能 够 是 组 织 的 一 个 负责 代表 。 如 果 员 工 使 用 因特网 来 访问 面向 审计 的 信息 ， 或 者 
发 表 了 一 些 同 组 织 原则 相悖 的 看 法 ， 那 么 这 些 行为 将 看 做 是 不 可 接受 的 。 一 个 可 接受 的 因 特 
网 使 用 策略 应 该 规定 用 于 业务 目的 的 因特网 使 用 范围 以 及 可 接受 的 行为 范围 ， 从 而 使 得 员工 
可 以 成 为 组 织 的 一 个 电子 代表 。 


6.1 安全 策略 框架 


安全 策略 的 构建 是 非常 依赖 于 具体 组 织 的 ， 每 个 组 织 可 能 各 不 相同 。 几 个 组 织 已 经 使 用 
了 一 个 安全 策略 框架 。 然 而 ， 同 一 框架 可 能 并 不 适用 于 所 有 的 组 织 。 但 是 它 为 安全 策略 的 构 
建 提供 了 一 个 途径 。 在 安全 框架 中 的 策略 通常 是 由 一 些 标准 部 分 组 成 的 ， 其 中 每 个 部 分 概括 
了 策略 以 及 实现 该 策略 的 原因 。 策 略 应 该 是 简短 扼要 的 。 它 们 会 分 布 到 所 有 相关 的 业务 实体 
上 。 它们 不 应 该 具体 到 任何 硬件 平台 上 ， 并 且 应 该 是 独立 于 技术 的 。 每 个 策略 应 该 包括 ; 

。 策 略 声明 一 一 公司 策略 的 一 个 正规 声明 。 组 织 需 要 什么 ? 不 需要 什么 ? 策略 声明 应 该 是 

简洁 扼要 的 。 

。 目的 一 “为 什么 需要 该 策略 ? 它 解 决 什么 问题 ? 策略 有 什么 组 件 ? 该 策略 涉及 到 的 领域 

有 什么 定义 吗 ? | | 
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“范围 一 一 策略 应 用 的 边界 范围 是 什么 ? 策略 如 何 扩展 ? 

“策略 兼容 性 一 一 该 部 分 包含 策略 的 具体 组 件 和 应 用 。 支 持 该 策略 具体 需要 些 什么 ”有 多 

许 缘 离 策 略 的 情况 吗 ? 如 果 有 ， 需 要 什么 处 理 来 授权 这 种 背离 行为 ? 

。 处罚/ 结果 一 一 不 支持 策略 有 什么 后 果 ? 或 者 进行 什么 处 罚 ? 如 果实 际 情况 中 出 现 了 背 

离 策略 的 行为 ， 那 么 这 一 部 分 可 以 规定 正式 制裁 和 (或 ) 具体 后 果 。 

安全 框架 所 包括 的 内 容 因 组 织 而 不 同 ， 它 取决 于 具体 的 业务 环境 、 操 作 模 式 以 及 管理 原 
则 。 下 面 给 出 了 几 个 可 殿 考 虑 的 专题 。 这 个 列表 并 不 详尽 ， 但 是 它 标识 了 许多 可 能 需要 一 个 
具体 策略 的 领域 。 这 些 策略 专题 组 成 几 个 组 ， 其 中 第 一 个 涉及 的 是 几乎 所 有 组 织 都 应 该 考虑 
的 策略 。 


6.1.1 基本 的 安全 元 素 


在 任何 安全 框架 中 都 可 以 找到 一 些 基本 的 安全 元 素 。 组 织 应 该 通过 一 个 或 者 一 组 策略 来 
提供 这 些 基本 的 组 件 ， 并 规定 它们 应 该 采取 的 形式 和 使 用 方式 。 本 安全 策略 组 标识 了 安全 机 
制 基础 。 这 些 策略 ， 或 者 这 些 策略 之 后 的 安全 机 制 ， 包 括 在 大 多 数 安全 系统 中 。 

1. 标识 | 

数据 处 理 系统 的 每 个 独立 用 户 和 数据 必须 要 进行 惟一 标识 ， 从 而 提供 个 体 责任 。 一 个 惟 
一 的 用 户 标识 码 ， 称 做 用 户 ID ， 通 常用 来 代表 一 个 用 户 的 系统 标识 。 一 个 有 效 的 用 户 IP《 根 
据 密码 进行 校 验 ) 提供 了 对 用 户 标识 的 认证 。 标 识 策略 应 该 详细 说 明 对 标识 的 需求 ， 并 说 明 
应 该 如 何 实现 标识 。 例 如 ， 策 略 应 该 规定 ， 惟 一 的 用 户 ID 会 指派 给 个 体 ， 并 用 于 该 个 体 的 标 
识 。 用 户 ID 会 用 做 惟一 的 标识 符 ， 并 且 用 于 授权 、 认 证 和 审计 目的 。 

2. 认证 

任何 安全 系统 的 基础 都 能 知道 谁 或 者 什么 在 请 求 数 据 处 理 操作 。 对 请 求 标识 的 校 验 是 允 
许 对 数据 资产 和 系统 进行 访问 的 一 项 基本 需求 。 如 果 一 个 标识 具有 某 种 形式 的 独特 数据 或 者 
独特 人 性质 ， 那 么 就 可 以 认证 该 标识 。 策 略 应 该 规定 ， 何 时 需要 认证 、 认 证 根据 什么 ， 以 及 使 
用 何 种 认证 机 制 。 认 证 机 制 可 以 是 带 有 密码 的 惟一 的 用 户 标识 ， 或 者 用 户 具有 的 某 样 东 西 ， 
如 一 个 智能 卡 或 者 一 个 拇指 印 等 。 

3. 授权 

对 公司 计算 资源 的 访问 只 应 该 授予 那些 管理 部 门 许可 的 个 体 或 者 连接 主机 。 这 种 许可 是 
授权 机 制 所 授予 的 ， 这 种 授权 机 制 可 用 来 允许 、 拒 绝 或 者 限制 个 体 或 者 连接 主机 对 资源 的 访 
问 。 授 权 通 常 建立 在 一 个 认证 的 标识 上 。 策 略 应 该 定义 用 于 授权 的 元 素 ， 如 已 认证 的 用 户 色 。 
策略 也 应 该 指出 ， 谁 建立 授权 标准 ， 谁 授予 资 源 访问 授权 ， 以 及 谁 管理 授权 过 程 。 

4. 密码 

用 户 或 系统 惟一 标识 和 伴随 密码 通常 就 是 提供 保护 系统 资源 的 基本 安全 级 别 的 全 部 。 可 
能 也 会 需要 另外 的 安全 保护 ， 如 一 个 智能 卡 ， 这 要 取决 于 对 象 数据 的 类 别 。 密 码 策略 应 该 涉 
及 到 密码 的 处 理 、 格 式 、 密 码 交 换 标 准 以 及 保持 密码 安全 的 需求 。 密 码 策略 的 关键 组 件 之 一 
应 该 是 保持 个 体 密码 安全 和 问题 出 现 后 果 的 需求 。 

5. 信息 完整 性 | 

信息 完整 性 同 组 成 昌 标 信息 的 集合 数据 的 可 靠 性 、 准 确 性 以 及 管理 密切 相关 。 对 于 一 个 
可 车 的 业务 计算 系统 ， 系 统 的 正确 操作 和 信息 完整 性 的 维持 是 必需 的 。 由 于 信息 是 一 个 数据 
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的 集合 ， 所 以 完整 性 的 实现 有 助 于 保证 所 有 的 数据 都 是 可 靠 的 和 准确 的 。 对 标识 信息 生成 者 
的 需求 ， 或 者 完整 性 检查 工具 的 定期 执行 ， 都 是 完整 性 方面 的 例子 。 关 于 信息 完整 性 的 策略 
应 该 概括 出 对 实现 完整 性 机 制 的 需要 ， 以 及 它们 是 什么 和 如 何 使 用 它们 。 数 据 完 整 性 同 独立 
数据 元 素 的 可 用 性 和 准确 性 密切 相关 。 下 一 节 将 介绍 关于 数据 完整 性 的 策略 。 


6.1.2 同 数据 相关 的 策略 


安全 框架 中 的 其 他 元 素 都 围绕 着 数据 保护 这 一 问题 。 组 织 的 秘密 是 安全 预防 的 首要 推动 
原因 。 组 织 需要 明确 各 种 数据 组 件 的 机 密 性 需求 ， 并 对 其 给 定 一 个 定义 。 这 会 提供 一 些 有 关 
保护 数据 所 需 的 安全 测量 的 类 型 和 深度 方面 的 答案 。 例 如 ， 组 织 可 能 定义 一 个 同 公司 文档 的 
出 版 相关 的 策略 ， 并 规定 谁 可 以 访问 这 些 文档 。 

1. 数据 分 类 

综合 安全 框架 主要 的 组 成 部 分 是 数据 的 分 类 。 组 织 内 生成 和 维护 的 各 种 信息 有 着 不 同 的 
敏感 程度 ， 这 取决 于 数据 的 特性 和 用 途 。 所 有 的 数据 应 该 根据 其 特性 和 目的 进行 分 类 ， 从 而 
定义 同 信息 的 完整 性 、 可 用 性 以 及 机 密 性 相关 的 正确 测量 。 组 织 应 该 有 一 个 策略 来 标识 数据 
的 类 别 ， 以 及 每 个 类 别 所 要 求 的 访问 、 控 制 以 及 管理 操作 。 例 如 ， 一 个 策略 可 能 会 指出 高 度 
机 密 的 数据 必须 要 以 加 密 的 形式 进行 存储 和 传输 。 

2. 数据 监护 人 (所 有 权 ) . 

组 织 中 的 数据 是 一 项 有 价值 的 资产 ， 因 此 必须 要 得 到 保护 。 资 产 保护 的 指派 和 管理 是 数 
据 监护 人 的 职责 。 术 语 “ 数 据 监护 人 ”( data guardian ) 同 数据 所 有 权 这 个 词 区 分 开 。 在 大 多 
数组 织 中 ,数据 的 所 有 权 不 会 给 任何 个 人 ， 而 是 由 组 织 所 保留 。 数 据 监护 人 有 责任 保护 数据 
资产 ， 但 却 不 需要 指派 所 有 权 。 在 某 些 类 型 的 公司 里 ， 这 会 称 做 智力 所 有 权 的 保护 。 关 于 数 
据 保护 的 策略 应 该 规定 数据 监护 人 的 职责 以 及 同 数 据 所 有 者 或 数据 保管 员 的 关系 。. 

3. 数据 保管 员 (管理 ) | 

数据 不 仅仅 必须 要 受到 保护 ， 还 必须 要 管理 它 。 该 种 管理 责任 由 一 个 称 做 数据 保管 员 的 
人 承担 。 数 据 保管 员 有 责任 维护 数据 资产 性 能 的 可 靠 性 以 符合 数据 监护 人 的 规范 。 数 据 保管 
员 为 数据 监护 人 的 数据 管理 起 到 了 委托 人 的 功能 。 数 据 保管 员 已 经 授权 了 资产 的 拥有 ， 并 有 
责任 遵循 数据 监护 人 的 授权 或 者 指定 控制 。 数 据 保 管 员 有 责任 管理 数据 的 可 用 人 性， 保证 适当 
的 控制 并 使 用 ， 担 任 数 据 的 公司 代表 角色 ， 对 未 经 授权 的 汇 沁 和 数据 破坏 进行 风险 分 析 ， 为 
数据 的 访问 和 使 用 建立 适当 的 数据 分 类 和 认证 标准 。 

4. 数据 完整 性 

4 入 扣 半天 全 和 直 元 表 的 准确 性 和 可 用 性 窗 切 相关 。 当 需要 使 用 的 时 候 ， 用 于 提供 
公司 信息 的 数据 必须 是 准确 的 和 可 用 的 。 这 些 数据 必须 要 被 保护 以 免 遭 到 破坏 或 者 滥用 ， 并 
且 它 们 要 包括 测量 以 保证 其 准确 性 和 可 用 性 。 关 于 数据 完整 性 的 策略 应 该 标识 出 对 安全 数据 
存 钳 和 数据 存储 备份 机 制 的 需求 ， 对 保护 数据 准确 性 和 测试 用 来 操作 数据 的 程序 和 过 程 准确 
性 的 过 程 和 程序 的 需求 ， 数 据 的 复制 ， 以 及 数据 的 私密 性 和 完整 性 。 关 于 信息 完整 性 的 策略 
应 该 涉及 到 对 管理 完整 性 机 制 的 需求 。 


6.1.3 个 人 使 用 策略 (通用) 
计算 机 的 使 用 为 我 们 的 办 公 任务 带 来 了 一 场 革命 性 的 变化 。 你 应 该 考虑 为 员工 或 者 其 他 
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公司 相关 人 员 人 制定 一 些 有 关 计 算 机 使 用 的 策略 。 

1. 个 人 使 用 

计算 资源 是 服务 于 公司 业务 需求 的 。 公 司 可 能 不 允许 员工 把 这 些 资源 用 于 个 人 行为 而 不 
是 进行 工作 ， 除 非 管理 部 门 允许 。 组 织 应 该 有 一 个 策略 来 指定 个 人 使 用 公司 计算 资源 的 可 接 
受 范 围 ， 以 及 获得 管理 部 门 许可 的 标准 和 过 程 。 : 

2. 信息 系统 的 使 用 

现在 ,公司 内 部 和 外 部 对 电子 邮件 和 消息 技术 的 使 用 正 日 益 增 长 。 这 为 创建 并 分 布 化 
信息 提供 了 一 个 方便 的 的 方法 。 信 息 技术 系统 的 用 户 必 须 以 一 个 合法 、 负 责 的 方式 来 使 用 
这 些 系统 。 系 统 和 网 络 不 应 该 用 来 生成 或 者 分 布 非法 的 、 不 道德 的 以 及 同 公 司 原则 相悖 的 
信息 。 

3. 保密 

公司 保持 个 人 和 其 他 数据 以 管理 和 操纵 业务 。 个 人 信息 机 密 性 的 保护 是 非常 重要 的 。 所 
有 的 员工 必须 要 采取 积极 的 步骤 来 维护 信息 的 机 密 性 。 公 司 可 能 也 受 机 密 规 定 或 者 条 例 的 控 
制 。 如 果 它 们 控制 着 组 织 的 行为 ， 公 司 应 该 有 一 个 策略 来 概括 出 对 条 例 或 法 规 的 需求 。 


6.1.4 安全 管理 策略 


安全 机 制 的 管理 也 是 策略 应 该 涉及 到 的 一 个 地 方 。 策 略 应 该 指出 其 涉及 的 行为 和 责任 。 
安全 机 制 只 有 在 符合 定义 良好 的 综合 管理 策略 的 情况 下 才 有 效 。 

1. 管理 职责 

安全 机 制 、 过 程 和 程序 的 成 功 是 一 个 管理 职责 。 该 职责 通常 给 公司 内 所 有 具有 管理 责任 
的 人 。 监 视 和 实施 安全 结构 是 管理 部 门 的 职责 ， 所 有 的 个 体 和 系统 组 件 都 在 他 们 的 直接 控制 
之 下 。 公 司 应 该 有 一 个 关于 管理 职责 的 策略 来 概括 出 高 效 管理 所 需 的 这 些 职责 和 过 程 。 

2. 记录 管理 

对 机 密 信 息 的 访问 以 及 对 重要 公司 数据 的 修改 都 应 该 记录 下 来 。 这 些 记 录 对 提供 一 个 综 
合 安全 框架 是 非常 重要 的 。 这 些 记录 用 来 提供 作用 到 数据 和 系统 上 活动 的 审计 有 跟踪。 策略 也 
可 以 指定 信息 的 持久 需求 ， 以 及 机 密 信息 需要 删除 或 者 破坏 的 时 间 。 组 织 可 能 需要 使 用 记录 
来 满足 正式 的 和 合法 的 需求 。 

3. 安全 管理 

安全 管理 是 企业 内 信息 安全 机 制 的 焦点 所 在 。 安 全 管理 意 在 保证 所 有 的 安全 测量 和 机 
制 都 是 正确 实现 、 管 理 和 监视 的 ， 并 且 能 够 根据 业务 条 件 而 正确 地 变化 。 它 也 有 责任 协调 
安全 信息 和 安全 事故 调查 。 安 全 管理 不 负责 管理 策略 一 一 这 是 管理 部 门 责任 策略 应 该 负责 
的 地 方 。 

4. 责任 分 离 

在 处 理 安全 问题 时 责任 分 离 是 一 个 非常 重要 的 原则 。 把 同 任务 相关 的 安全 和 管理 的 组 件 
指派 给 不 同 的 个 体 是 更 可 取 的 。 如 果 没 有 个 体 具 有 对 安全 组 件 的 总 控制 ， 那 么 就 没有 人 能 破 
坏 安全 系统 。 一 般 情况 下 ,责任 分 离 是 在 下 面 几 个 职责 中 实现 的 :系统 开发 、 系 统管 理 、 安 
全 管理 以 及 系统 操作 。 公 司 应 该 使 用 一 个 策略 来 增强 责任 分 离 原 则 ， 并 说 明 原则 应 该 如 何 实 
现 。 在 大 金额 的 交易 中 ， 人 银行 一 般 需 要 两 个 员工 签名 ， 一 个 出 纳 员 和 一 个 经 理 ， 这 就 是 一 个 
责任 分 离 的 例子 。 
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5. 风险 评估 

风险 评估 是 一 个 过 程 ， 它 标识 一 项 资产 所 面临 的 风险 ， 并且 在 资产 的 价值 和 损失 所 带 来 
的 影响 的 基础 上 指定 保护 该 资产 所 需 的 控制 。 一 个 积极 的 安全 计划 的 基本 需求 是 对 需要 保护 
的 所 有 资产 进行 标识 和 分 类 。 一 个 正式 的 风险 评估 程序 有 助 于 资产 保护 措施 的 计划 和 选择 。 
并 不 是 所 有 的 风险 都 是 在 可 接受 的 成 本 范围 之 内 ， 对 于 管理 人 员 来 说 ， 接 受 某 种 级 别 的 风险 
既是 合理 的 也 是 谨慎 的 。 安 全 和 控制 并 不 自我 完成 ， 它 们 应 该 总 是 由 业务 需要 证 明 ， 从 而 限 
制 资产 对 未 授权 用 户 的 真正 暴露 。 

6. 兼容 性 监视 

安全 是 操作 和 使 用 数据 处 理 系统 的 一 个 重要 元 素 。 策略 、 工 具 、 过 程 和 程序 应 该 实现 以 
具有 所 需 的 安全 级 别 。 有 一 些 方法 可 以 用 来 监视 安全 措施 和 策略 的 兼容 性 。 同 安全 措施 的 不 
兼容 性 可 能 会 导致 信息 的 非法 暴露 ， 并 且 可 能 对 业务 处 理 产 生 影响 。 

7. 策略 背离 

策略 是 建立 在 所 有 平台 和 应 用 之 上 的 业务 控制 标准 。 框 架 中 提供 的 策略 和 标准 将 用 于 指 
导 和 控制 。 背 离 框架 或 者 同 框架 不 兼容 应 该 指出 并 在 策略 的 指导 下 进行 处 理 。 


6.1.5 系统 策略 


现在 组 织 的 计算 机 系统 是 其 业务 处 理 中 的 一 个 重要 组 件 。 如 果 系 统 在 很 长 一 段 时 间 不 可 
用 ,那么 有 些 业 务 就 会 停止 或 者 造成 大 量 损 失 。 对 于 系统 不 可 用 的 时 间 ， 有 些 情况 下 它 可 以 
以 小 时 为 单位 进行 测量 ; 而 对 于 一 些 非常 依赖 于 时 间 的 事务 来 说 ， 如 股票 市 场 交易 所 ， 它 需 
要 以 分 钟 为 单位 来 计算 。 

1. 系统 管理 

系统 管理 员 有 责任 为 信息 处 理 系统 维护 一 个 一 致 的 、 高 效 的 操作 环境 。 稳 定 和 一 致 的 系 
统 操作 会 提供 一 个 高 工作 效率 的 环境 ， 而 一 个 不 稳定 的 环境 则 容易 受到 破坏 。 

2. 系统 分 类 

根据 支持 业务 系统 性 质 和 用 途 的 不 同 ， 组 织 内 操作 和 维护 的 系统 可 能 有 着 不 同 程度 的 重 
要 性 。 为 了 应 用 适当 的 安全 和 保护 机 制 ， 以 及 在 灾难 恢复 和 业务 持续 计划 中 包括 关键 系统 ， 
所 有 系统 都 应 该 根据 其 机 密 性 和 可 用 性 需求 来 进行 分 析 和 分 类 。 

3. 业务 持续 性 、 

信息 处 理 系统 的 可 靠 性 是 业务 的 一 个 重要 方面 。 数 据 、 组 件 或 者 系统 的 不 可 用 性 会 对 业 
务 操 作 产 生 一 个 严重 的 影响 。 对 于 业务 操作 来 说 关键 的 系统 应 该 具有 一 个 策略 ， 该 策略 应 该 
表明 系统 对 一 个 业务 持续 计划 的 需求 。 


6.1.6 网 络 策略 


网 络 提供 了 对 计算 机 系统 的 访问 。 如 果 不 受到 一 些 安全 策略 的 严格 控制 ， 网 络 可 能 非常 
话 弱 。 这 些 策略 应 该 指出 谁 可 授予 访问 权 以 及 在 什么 条 件 下 可 授予 这 种 网 络 访问 权 。 

1. 外 部 网 络 访问 | 

互连网 络 来 提高 业务 利润 已 经 成 了 业务 操作 的 标准 的 和 可 接受 的 模式 。 为 了 六 息 和 业务 
目的 而 连接 到 因特网 上 正 日 益 成 为 许多 组 织 的 业务 需求 。 对 于 一 个 组 织 来 说 ， 其 网 络 到 一 个 
外 部 网 络 的 任何 连接 都 应 该 受到 严密 控制 ， 并 具有 严格 的 安全 措施 进行 保护 。 如 果 没 有 严格 
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的 安全 措施 来 保护 网 络 连 接 ， 那 么 组 织 内 的 所 有 计算 机 资产 都 可 能 遭 到 破坏 。 

2. 远程 网 络 访问 

员工 可 能 请 求 或 者 需要 从 位 于 公司 网 络 之 外 的 网 络 位 置 来 访问 公司 系统 。 如 果 有 合适 的 
理由 ， 并 且 所 需 的 安全 措施 都 到 位 的 话 ， 这 种 远程 访问 是 可 以 允许 的 。 在 这 种 情况 下 ， 系 统 
还 可 能 需要 第 二 个 功能 认证 机 制 。 这 些 请 求 绝对 不 能 破坏 系统 、 网 络 以 及 数据 的 安全 性 。 

为 了 合作 ， 或 者 为 了 进行 一 些 特殊 的 项 目 〈 如 年 中 审计 等 )， 第 三 方 也 可 以 请 求 访问 公司 
的 计算 系统 。 这 些 请 求 应 该 具有 适当 的 认可 ， 并 应 该 在 严格 的 安全 机 制 控制 下 ， 如 具体 访问 
地 点 、 时 间 限 制 或 者 其 他 限制 等 。 这 些 请 求 绝对 不 能 破坏 系统 、 网 络 以 及 数据 的 安全 性 。 

3. 通信 秘密 

电子 通信 已 经 成 为 业务 处 理 的 一 个 集成 部 分 。 对 公司 智力 资产 的 保护 需要 公司 对 电子 邮 
件 和 电话 交谈 进行 监视 。 公 司 应 该 有 一 个 通信 策略 来 说 明 在 电话 交谈 和 电子 邮件 机 密 性 上 公 
司 的 位 置 。 公 司 可 以 对 电子 通信 进行 监听 或 分 析 ， 这 取决 于 公司 的 原则 、 文 化 以 及 其 对 保护 
敏感 信息 或 智力 财产 的 关注 程度 。 通 信 策略 应 该 指出 是 否 存在 着 监听 的 可 能 性 。 


6.1.7 用 户 策略 


系统 用 户 必须 要 认识 到 、 掌 握 、 并 且 能 够 处 理 策略 。 如 果 他 们 对 策略 一 无 所 知 ， 那 么 安 
全 策略 也 就 没什么 价值 。 

1. 用 户 认识 

安全 机 制 和 组 件 应 用 中 的 一 个 主要 组 件 是 它们 的 存在 以 及 要 实现 它们 的 原因 。 组 织 必须 
实现 并 维护 一 个 用 户 意识 程序 ， 从 而 保证 策略 是 众人 皆 知 的 并 得 到 用 户 的 理解 。 

2. 用 户 责任 

一 个 用 户 是 一 个 授权 使 用 信息 资产 及 服务 的 个 体 。 数 据 用 户 是 具有 数据 监护 人 所 授予 的 
数据 访问 和 使 用 许可 的 个 体 。 所 有 的 用 户 都 必须 意识 到 安全 特性 和 策略 ， 并 了 解 实现 它们 的 
原因 。 用 户 有 责任 承担 同 组 织 内 信息 资产 和 计算 服务 的 保护 及 使 用 相关 的 义务 。 


6.1.8 软件 策略 


公司 的 软件 是 公司 内 计算 机 系统 的 管理 引擎 。 保 证 公司 使 用 的 所 有 软件 都 得 到 合法 权限 
是 公司 的 责任 。 保 护 软件 免 遭 病毒 侵害 也 是 公司 的 责任 。 

1. 软件 版 权 

版 权 法 保护 了 软件 生产 商 创建 和 发 布 其 软件 的 权利 。 软 件 的 使 用 限制 包括 进 了 随 软件 包 
发 送 的 生产 商 许可 协议 中 。 大 多 数 生产 商 允 许 用 户 可 以 为 了 备份 或 者 工作 拷贝 而 拷贝 软件 。 
然而 ， 许 可 协议 一 般 都 指出 软件 一 次 只 能 安装 到 一 台 机 器 上 。 如 果 软 件 的 拷贝 需要 安装 到 其 
他 机 器 上 ， 那 么 用 户 必须 要 获得 另外 的 许可 ， 或 者 必须 同 生 产 商 签订 一 份 站 点 许可 协议 。 如 
果 组 织 需要 开发 计算 机 应 用 程序 ， 那 么 得 到 适当 的 专利 、 商 标 以 及 版 权 对 于 公司 利益 的 保护 
是 非常 重要 的 。 

2. 病毒 防护 . 

在 IT 系统 的 操作 中 ， 组 织 需要 维护 一 个 病毒 防护 和 检测 过 程 。 引 入 到 公司 系统 中 的 所 有 
外 部 数据 和 软件 都 必须 要 首先 检查 以 防止 带 有 任何 已 知 的 病毒 。 公 司 应 该 定期 进行 病毒 检测 
扫描 。 如 果 发 现 一 个 病毒 ， 就 应 该 标识 责任 和 处 理 。 解 决 病毒 问题 的 另 一 个 方法 是 禁止 任何 
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6.1.9 其 他 策略 


还 有 其 他 几 个 领域 也 需要 考虑 安全 策略 。 

1. 应 用 程序 开发 

系统 开发 生命 周期 中 的 所 有 应 用 设计 和 开发 阶段 都 应 该 考虑 到 安全 性 。 应 用 系统 的 设计 
者 和 开发 者 应 该 知道 根据 系统 和 数据 分 类 的 所 有 安全 需求 。 在 实现 系统 之 前 ， 一 个 策略 可 能 
需要 正式 的 应 用 系统 安全 性 评估 。 

2. 外 部 处 理 

用 于 处 理 系 统 的 或 者 员工 进行 的 备用 处 理 的 外 部 服务 组 织 应 该 受到 同 内 部 系统 一 样 的 安 
全 环境 和 控制 的 保护 。 你 可 能 没有 对 环境 直接 控制 ， 这 会 引入 安全 问题 。 任 何 外 部 处 理 只 应 
该 在 同 内 部 需求 一 样 的 或 者 等 价 的 安全 过 程控 制 下 进行 管理 。 应 该 有 一 个 认证 或 者 分 析 过 程 
来 建立 环境 的 安全 性 。 这 应 该 是 用 于 建立 关系 的 需求 之 一 。 

3. 物理 安全 性 

访问 包含 数据 处 理工 具 的 领域 应 该 限定 给 那些 具有 一 个 明确 业务 访问 需要 的 人 。 一 个 安 
全 的 、 受 保护 的 环境 对 于 高 效 的 系统 操作 是 非常 重要 的 。 用 于 这 方面 的 策略 需要 考虑 对 计算 
机 资产 的 访问 和 保护 需求 ， 以 及 公司 数据 的 存储 和 保护 机 制 。 还 可 以 考虑 包括 员工 所 拥有 的 
计算 机 资产 。 

4. 标准 的 使 用 

采纳 基于 法 律 的 或 者 基于 事实 的 标准 是 一 个 重要 的 原则 ， 这 些 标准 会 为 信息 技术 系统 
提供 指导 。 基 于 法 律 的 标准 通常 是 由 政府 或 者 工业 标准 体 定义 和 管理 的 标准 ， 基 于 事实 的 
标准 是 多 个 厂商 产品 广泛 实现 但 却 没有 一 个 用 于 管理 的 代表 标准 体 的 标准 。 前 者 的 一 个 例 
子 是 由 国际 标准 化 组 织 ( International Standard Organization，ISO ) 管理 的 开放 式 系 统 互 
联 (Open System Interconnection，OSI) 标准 ， 后 者 的 一 个 例子 是 几乎 所 有 的 UNIX 操 作 
系统 厂商 所 采纳 的 网 络 文件 系统 (Network File System，NFS )。 标 准 的 采纳 为 技术 的 选择 、 
开发 以 及 实现 提供 了 指导 。 标 准 有 助 于 提高 应 用 程序 在 分 布 式 计算 环境 中 的 互 操 作 性 和 可 
移植 性 。 

5. 传真 和 语音 邮件 

通常 情况 下 ， 语 音 邮 件 是 组 织 内 的 一 个 安全 脆弱 点 ， 但 它 是 非常 重要 的 。 策 略 应 该 涉及 
到 语音 邮件 系统 访问 密码 的 保护 ， 并 旦 这 要 同 计算 机 系统 的 访问 条 件 相同 。 关 于 传真 使 用 的 
策略 应 该 考虑 到 传输 中 潜在 涉及 到 的 数据 的 类 别 。 如 果 要 保护 ， 这 种 类 别 可 能 会 阻止 传真 传 
输 或 者 其 他 传真 特殊 安全 机 制 的 使 用 。 组 织 应 该 要 求 ， 语 音 邮 件 和 传真 的 保密 性 应 该 得 到 苯 
重 并 受到 保护 ， 并 且 这 些 形式 的 业务 通信 应 该 以 一 个 安全 的 方式 使 用 。 


6.2 策略 的 例子 


你 应 该 考虑 为 前 面 提 到 过 的 每 个 领域 定义 策略 。 前 面 的 列表 并 不 是 详尽 的 ， 但 是 它 列举 
了 需要 考虑 安全 策略 时 的 主要 组 件 。 下 面 是 一 个 软件 版 权 的 示例 策略 ， 它 说 明了 一 个 策略 应 
该 涵盖 到 的 主题 。 
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软件 版 权 策 略 


同伴 随手 独立 软件 产品 的 许可 协议 中 的 声明 一 样 ， 公 司 要 求 软件 的 所 有 用 户 都 要 严 


格 遵循 有 关 版 权 的 术语 和 条 件 。 





1. 目的 

版 权 法 保护 了 软件 生产 商 创 建 和 分 布 其 软件 的 权利 。 软 件 的 使 用 限制 包括 在 随 软件 包 发 
送 的 生产 商 许可 协议 中 。 大 多 数 生产 商 允 许 用 户 可 以 为 了 备份 或 者 工作 拷贝 而 拷贝 软件 。 然 
而 ， 许 可 协议 一 般 都 指出 软件 一 次 只 能 安装 到 一 台 机 器 上 。 如 果 软 件 的 拷贝 需要 安装 到 其 他 
机 器 上 ， 那 么 用 户 必须 要 获得 另外 的 许可 ， 或 者 必须 同 生产 商 签订 一 份 站 点 许可 协议 。 

许可 看 起 来 无 罪 的 行为 实际 上 是 在 违背 版 权 法 。 它 们 包括 : 

。 在 购买 前 找 册 软件 以 测试 购买 。 

。 创 建 一 份 临时 拷贝 并 一 直 使 用 到 购买 了 一 份 为 止 。 

。 拷 贝 公司 软件 到 别处 去 用 。 

。 在 试用 期 过 后 再 次 获得 软件 的 评估 版 或 者 演示 版 。 

2. 范围 

对 于 所 有 软件 的 使 用 ， 具 备 现 在 的 软件 版 权 协议 的 知识 是 必 备 条 件 。 所 有 的 员工 都 需要 
真正 了 解 受 其 控制 软件 的 许可 协议 。 

3. 策略 的 兼容 性 

独立 许可 协议 的 疏忽 不 是 对 不 兼容 性 的 合法 解释 。 为 了 保证 同 有 关 版 权 之 术语 和 条 件 的 
兼容 ， 用 户 必须 : 

。 只 依照 在 软件 许可 协议 中 提出 的 术语 和 条 件 来 制 做 找 员 。 

。 遵 循 有 关 版 本 和 发 布 升级 的 软件 许可 协议 。 

。 在 删除 家 用 软件 之 前 先 得 到 管理 部 门 的 批准 。 

。 公司 内 使 用 的 所 有 专利 软件 ， 一 定 要 有 在 任何 时 候 都 可 用 的 文档 化 的 购买 凭证 。 

。 在 演示 、 评 估 或 者 诊断 测试 完成 之 后 ， 删 除 专利 软件 。 专 利 软件 是 某 个 人 而 不 是 公司 具 

有 版 权 的 软件 。 

。 在 公司 的 计算 机 上 安装 或 者 使 用 个 人 所 有 的 软件 前 一 定 要 先 得 到 管理 部 门 的 批准 。 

4. 处 罚 / 后 果 

把 软件 找 贝 用 于 许可 协议 声明 之 外 的 目的 是 违法 行为 ， 应 该 严厉 禁止 。 有 意 或 者 无 意 地 
违反 版 权 法 或 者 许可 规定 的 用 户 可 能 会 负 个 人 法 律 责任 。 


6.3 建立 策略 的 过 程 


前 面 已 经 定义 了 策略 的 框架 ， 现 在 需要 添加 内 容 ， 从 而 保证 这 些 策略 是 众人 省 知 的 、 文 
档 化 的 、 批 准 的 、 更 新 的 和 管理 的 。 公 司 安全 策略 框架 必须 要 由 一 个 组 织 良好 的 管理 过 程控 
制 。 该 过 程 将 定义 建立 该 过 程 的 授权 、 策 略 需求 和 建立 的 实现 、 批 准 策略 的 过 程 、 实 施 策略 
的 机 制 以 及 用 于 策略 维护 和 管理 的 程序 和 责任 。 高 效 安全 策略 管理 的 关键 任务 是 建立 一 个 认 
识 和 教育 程序 以 保证 该 安全 策略 影响 到 的 每 个 人 都 能 知道 安全 策略 的 存在 及 其 内 容 。 安 全 框 
架 应 该 包括 框架 中 包含 的 策略 的 定义 和 管理 的 方法 。 


em 
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6.3.1 责任 


安全 策略 的 建立 、 实 现 、 实 施 以 及 管理 可 能 会 牵扯 到 几 个 人 或 者 几 个 小 组 。 这 些 责任 应 
该 定义 并 文档 化 成 安全 策略 过 程 的 一 部 分 。 安 全 策略 的 构建 、 实 现 和 实施 应 该 得 到 公司 的 高 
级 管理 部 门 的 支持 。 该 管理 部 门 应 该 最 终 为 应 用 策略 的 业务 的 成 功 操作 负责 。 其 责任 不 仅仅 
包括 在 出 现 安全 事件 的 时 候 进 行 补救 的 能 力 ， 还 包括 指示 安全 策略 应 该 改变 的 权力 。 

需要 建立 一 个 正式 的 用 于 策略 评审 的 过 程 。 评 审 的 目标 是 检查 策略 的 适合 程度 并 保证 策 
略 同 公司 原则 、 公 司 业务 以 及 其 他 已 经 定义 的 策略 是 一 致 的 。 策 略 的 批准 应 该 来 自 于 高 级 经 
理 或 者 其 他 指派 的 高 级 管理 人 员 。 策 略 批准 过 程 中 所 牵扯 到 的 管理 人 员 越 高 级 ， 策 略 的 影响 
就 越 大 。 策 略 评审 和 批准 过 程 应 该 定期 进行 计划 和 安排 。 

一 般 情况 下 ， 安 全 策略 的 实施 是 具有 已 定义 管理 责任 的 人 的 职责 所 在 ， 但 是 高 级 管理 人 
员 要 最 终 为 策略 的 实施 负责 。 这 不 应 该 是 负责 安全 机 制 管理 小 组 的 责任 。 违 背 安全 策略 的 行 
为 应 该 由 通常 的 管理 过 程 确定 。 


6.3.2 安全 策略 指南 


安全 策略 过 程 的 主要 焦点 是 安全 策略 指南 。 该 指南 应 该 包含 安全 策略 框架 的 目的 或 者 需 
求 、 策 略 所 基于 的 原则 、 用 于 开发 策略 的 方法 、 如 何 管理 策略 、 框 架 中 包含 的 具体 策略 。 任 
何 受 策略 控制 的 人 都 可 以 参考 该 指南 。 该 策略 指南 应 该 定期 评审 ， 并 能 同 策略 的 采纳 或 更 新 
保持 同步 。 策 略 评审 和 批准 过 程 后 应 该 对 策略 指南 进行 更 新 。 当 策略 正式 批准 的 时 候 ， 应 该 
对 策略 指南 进行 更 新 ， 并 且 要 把 所 有 的 更 新 都 发 送 给 指南 的 持 有 者 们 。 并 且 ， 这 些 更 新 也 应 
该 包括 在 策略 所 影响 到 的 所 有 员工 和 用 户 之 间 的 定期 通信 中 。 


6.3.3 认识 和 教育 


建立 一 个 全 面 的 认识 和 教育 程序 是 非常 重要 的 。 对 于 那些 应 该 受到 策略 影响 的 人 来 说 ， 
如 果 他 们 对 策略 的 存在 以 及 策略 的 内 容 一 无 所 知 ， 那 么 策略 就 根本 没有 任何 影响 。 对 于 公司 
内 的 员工 来 说 ， 如 果 他 们 对 策略 和 其 他 组 织 规则 根本 不 知道 或 者 置 若 闫 闻 ， 那 么 安全 程序 就 
根本 起 不 到 任何 作用 。 每 个 人 都 应 该 清楚 地 知道 他 们 对 什么 资产 负 有 责任 以 及 那些 资产 应 该 
受到 什么 样 的 保护 。 

公司 应 该 开发 一 个 正规 的 教育 程序 ， 并 使 其 为 全 体 员工 和 用 户 所 用 ， 特 别 是 新 员工 和 新 
用 户 更 要 通过 此 来 接受 安全 教育 。 该 教育 程序 应 该 为 每 一 个 需要 知道 和 掌握 策略 的 人 提供 一 
个 对 有 关 安 全 、 重 要 性 以 及 责任 的 需求 的 总 找 。 该 程序 应 该 覆盖 到 主要 的 策略 ， 并 说 明 哪 里 
可 以 得 到 全 部 策略 的 详细 信息 。 公 司 应 该 为 员工 或 者 用 户 颁发 签名 证 书 以 证 明 其 已 经 阅读 并 
掌握 了 安全 策略 ， 强 烈 向 你 推荐 这 么 做 ! 教育 材料 必须 要 保持 最 新 。 


6.3.4 策略 过 程 实现 


启动 策略 过 程 的 方法 之 一 是 让 公司 的 一 个 专题 研究 组 来 专门 处 理 安全 策略 。 例 如 ， 公 司 
可 以 选 出 一 个 小 组 来 开会 解决 以 下 目标 ， 所 需 的 安全 需要 和 级 别 、 安 全 角色 和 责任 以 及 实现 
策略 的 过 程 。 参 加 会 议 或 者 工作 组 的 成 员 就 是 负责 提供 安全 并 且 在 出 现 安全 问题 的 时 候 承 担 
责任 的 决策 制定 者 。 内 部 审计 员 也 应 该 参与 这 类 工作 。 工 作 组 应 该 提供 对 安全 问题 的 一 个 公 
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共 理 解 ， 并 且 提供 一 个 论坛 来 定义 解决 问题 所 需要 的 计划 。 

得 到 组 织 最 高 管理 部 门 对 策略 问题 的 同意 、 支 持 以 及 批准 是 非常 重要 的 。 安 全 性 必须 要 
看 做 是 一 个 非常 重要 的 公司 需求 。 同 质量 承诺 一 样 ， 如 果 管 理 部 门 对 策略 问题 有 一 个 非常 高 
的 同意 、 支 持 和 批准 ， 那 么 策略 就 可 以 看 成 是 重要 的 ， 并 且 会 遵循 。 组 织 的 管理 部 门 必须 具 
有 实施 策略 的 责任 和 权力 。 

组 织 内 有 很 多 部 门 不 一 定 同 信息 技术 领域 相关 ， 如 内 部 和 人 力 资源 部 门 。 但 这 些 部 门 也 
应 该 涉及 安全 策略 过 程 。 这 些 部 门 能 够 提供 具体 策略 的 需求 和 内 容 输 入 。 人 力 资源 部 可 以 参 
与 商量 对 违背 策略 行为 的 处 罚 措施 和 后 果 。 许 多 人 力 资源 部 门 通过 面向 他 们 自己 员工 的 程序 
来 强化 计算 安全 意识 。 策 略 应 该 包括 在 任何 新 员工 培训 材料 中 。 内 部 审计 可 以 评审 策略 ， 并 
在 需要 策略 或 者 修改 策略 的 地 方 指出 问题 。 


6.4 小 结 


安全 策略 的 框架 是 安全 分 布 式 计算 环境 中 的 一 个 非常 重要 的 构建 部 件 。 它 为 员工 遵循 公 
司 标准 提供 了 指导 ， 并 且 指 出 了 如 果 他 们 不 遵循 所 造成 的 后 果 。 如 果 策 略 同 已 经 接受 的 行为 
标准 保持 一 致 ， 那 么 策略 可 以 增加 组 织 的 整体 安全 性 。 但 是 光 建 立 策略 是 不 够 的 。 若 要 成 功 
地 实现 安全 框架 ， 用 户 必须 要 知道 策略 并 掌握 其 内 容 ， 从 而 支持 安全 框架 的 成 功 实现 。 
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最 近 几 年 来 ,采纳 分 布 式 计算 可 谓 掀起 了 一 股 浪潮 。 几 年 前 ,很 多 组 织 还 很 少 提 到 过 分 
布 式 系统 以 及 客户 机 -服务 器 技术 ， 但 是 现在 他 们 已 经 成 功 部 署 了 基于 这 种 技术 的 标准 解决 方 
案 。 然 而 ， 在 得 到 客户 机 -服务 器 技术 带 来 的 高 效率 之 前 ， 安 全 和 信任 问题 必须 要 首先 解决 。 
我 们 相信 ， 知 识 是 解决 大 多 数 问题 的 基础 。 为 了 解释 其 原因 ， 我 们 将 引 人 一 个 称 做 “ 雪 地 里 
的 脚印 ”的 概念 。 

我 们 大 多 数 住 在 郊区 ， 那 里 并 非 安全 之 地 。 犯 罪 的 事 偶 有 发 生 。 我 们 锁 上 了 窗户 和 门 ， 
一 条 大 狗 为 我 们 看 门 ， 我 们 相信 它 能 吓 住 坏 人 。 然 而 ， 如 果 你 注意 到 了 卧室 窗户 后 面 雪 地 里 
有 脚印 ， 安 全 意识 可 能 会 大 大 提高 。 你 会 采取 积极 的 行动 来 检查 人 侵 者 。 雪 地 里 的 脚印 、 地 
毯 上 的 鞋 泥 以 及 门 锁 上 的 刮 痕 都 是 你 应 该 关注 的 线索 。 

滥用 计算 机 系统 的 人 也 会 在 雪 地 上 留 下 脚印 。 问 题 在 于 ， 普 通 的 网 络 或 者 系统 管理 员 不 
会 查看 后 院 的 雪 地 ， 并 且 即 使 他 们 看 了 ， 可 能 也 不 知道 那些 通 往 卧室 窗户 的 脚印 意味 着 什么 。 

在 对 分 布 式 计算 技术 的 分 析 中 ， 将 探讨 和 解释 电子 化 的 “ 雪 地 里 的 脚印 " 。 将 分 析 网 络 、 
中 间 件 以 及 开放 式 系统 环境 的 脆弱 性 和 易 受 攻击 点 ， 并 且 要 探讨 一 下 加 密 技术 。 

还 要 讨论 一 下 Windows NT 的 安全 性 和 因特网 的 使 用 ,后 者 是 许多 组 织 对 安全 人 性 的 关注 所 
在 。 在 本 部 分 的 最 后 一 章 中 ,将 讨论 一 下 开放 式 系统 基础 (Open Systems Foundation，OSF ) 
中 间 件 ， 这 将 为 解决 分 布 式 计算 问题 提供 帮助 。 在 本 章 中 ， 还 要 讨论 事务 处 理 的 安全 性 使 用 。 
在 每 一 章 中 ， 都 将 讨论 技术 为 计算 安全 性 问题 带 来 的 挑战 以 及 它 所 提供 的 解决 方案 。 


体系 结构 TCP/IP 工 作 原 理 

APPN IP 是 可 以 信任 的 吗 ? 

IBM 开 放 式 蓝图 提高 安全 性 

SNA/APPN 安 全 性 将 来 的 开发 

SNA/APPN 小 结 SNA 同 TCP/IP 的 安全 性 比较 





网 络 已 经 成 为 大 多 数 计算 环境 的 命根 子 。 安 全 性 过 去 一 直 集 中 于 操作 系统 和 应 用 程序 两 
个 方面 ， 但 现在 必须 要 包括 网 络 。 因 为 网 络 在 今天 的 计算 环境 中 起 着 重要 的 作用 ， 所 以 对 网 
络 安全 性 的 关注 是 非常 必要 的 。 必 须要 有 一 些 机 制 来 保证 网 络 的 可 信 操 作 ， 这 包括 认证 、 完 
整 性 和 授权 控制 。 操 作 系统 、 应 用 程序 以 及 网 络 的 安全 性 不 能 互相 了 脱离。 它们 都 对 计算 环境 
中 的 整体 信任 水 平 起 作 用 。 一 个 领域 的 不 足 必 须 从 另 一 个 领域 中 补偿 。 例 如 ， 如 果 监 听 网 络 
流量 ， 那 么 应 用 程序 可 以 通过 加 密 流 量 来 补偿 这 种 缺陷 。 

为 了 理解 为 什么 需要 连 网 控制 机 制 ， 来 看 一 下 什么 使 得 网 络 可 信 ， 什 么 使 得 其 不 可 信 。 


7.1 两 个 网 络 的 故事 


SNA 和 TCP/IP 是 两 种 不 同 的 网 络 。 现 在 看 一 下 它们 的 安全 性 能 。 系 统 网 络 体系 结构 
(System Network Architecture，SNA ) 是 由 IBM 在 20 世 纪 70 年 代 开 发 和 引入 的 。 它 是 现在 仍 
保留 使 用 的 最 常见 的 网 络 体系 结构 之 一 。 现 在 ，SNA 已 经 演变 成 了 高 级 对 等 网 络 ( Advanced 
Peer-to-Peer Networking，APPN )， 它 实现 了 分 布 式 的 、 端 级 的 连 网 。 

TCP/IP 协 议 的 存在 时 间 同 SAN 一 样 长 ， 甚 至 更 长 。 但 是 对 于 公司 网 络 布置 来 说 ， 它 是 个 
相对 较 新 的 后 来 者 。 它 是 使 用 最 广泛 的 网 络 协议 ， 用 来 互 连 遍 布 全 世界 的 几 百 万 台 计算 机 。 
在 本 章 中 ,将 对 SAN 和 TCP/IP 环 境 的 体系 结构 、 安 全 控制 以 及 问题 进行 比较 和 对 比 。 但 是 首 
先 要 讨论 一 下 可 信和 的 和 不 可 信和 的 网 络 。 . 
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在 连 网 和 安全 员工 之 间 的 一 个 不 调和 的 领域 是 开放 式 通 道 。 在 连 网 的 开放 式 通 道 之 
下 ， 所 有 连 网 的 用 户 都 可 以 对 网 络 上 的 任何 资源 进行 完全 的 和 完整 的 访问 。 网 络 不 应 该 
对 网 络 节点 间 的 通信 施 以 任何 限制 。 然 而 ， 这 个 概念 同 许多 业务 客户 的 安全 性 利害 有 冲 


突 。 它 会 造成 一 个 有 趣 的 思想 冲突 。 带 来 争论 的 解决 方案 通常 要 求 平衡 对 安全 通信 的 需 
要 。 如 果 开 放 式 通道 概念 占 上 风 ， 那 么 加 强 对 关键 服务 器 和 应 用 程序 的 控制 就 是 势 在 必 
行 的 。 





可 信和 网 络 的 概念 

一 个 可 信 的 或 者 安全 的 网 络 是 一 个 具有 足够 的 安全 控制 以 防止 误 用 其 操作 的 网 络 。 它 具 
有 内 部 控制 以 保证 网 络 的 完整 性 。 内 部 控制 提供 了 保护 ， 防 止 对 网 络 的 未 授权 访问 与 对 网 络 
流量 的 违法 监听 。 对 敏感 网 络 流量 进行 加 密 是 计数 器 监听 的 技术 。 这 类 网 络 一 般 是 由 政府 、 
军事 组 织 和 国防 工业 所 使 用 的 。 

不 可 信 的 网 络 是 在 其 中 ， 对 网 络 的 访问 是 未 经 授权 的 网 络 。 对 攻击 者 来 说 ， 攻 击 网 络 或 
者 监听 和 解析 流量 是 可 能 的 。 攻 击 者 也 可 以 插入 他 们 自己 的 流量 ， 并 伪装 它 使 其 看 起 来 像 来 
自 于 一 个 合法 源 地 址 。 或 者 他 们 可 以 简单 地 截断 网 络 上 的 流量 。 

有 很 多 种 攻击 网 络 的 方法 。 攻 击 者 可 以 带 着 一 台 具 有 适当 接口 的 笔记 本 电脑 ， 找 到 一 个 
网 络 连接 ( 或 者 在 备用 办 公 室 里 ， 或 者 拔 下 一 个 合法 的 工作 站 )， 然 后 连接 到 LAN 上 。 连 接 
上 之 后 ， 他 们 可 以 命令 笔记 本 电脑 把 网 络 流量 截获 到 自己 的 本 地 磁盘 驱动 器 上 。 因 为 一 个 不 
可 信 的 网 络 上 的 用 户 之 间 通 信 一 般 是 不 加 密 的 ， 所 以 用 这 种 方式 来 截取 和 解析 收集 到 的 流量 
是 很 容易 的 。 第 二 个 原因 是 以 太 网 之 类 的 广播 LAN 技 术 的 广泛 使 用 。 有 很 多 公开 可 用 的 网 
络 攻击 软件 ， 如 有 的 软件 能 够 守候 单词 “login” 并 有 选择 地 拷 员 下 一 百 个 字符 。 收 集 到 的 
.数据 肯定 包含 尝试 登录 用 户 的 账户 名 和 密码 。 接 着 ， 攻 击 者 可 以 登录 一 台 合 法 机 器 ， 并 开始 
访问 那个 用 户 所 拥有 的 资源 。 通 过 得 到 对 一 台 合法 工作 站 的 访问 权 ， 也 可 以 按照 此 方式 进行 
监听 。 

对 于 这 种 类 型 的 网 络 来 说 ， 攻 击 者 也 可 以 在 流量 中 插 人 自己 的 流量 ， 并 使 其 看 起 来 像 来 
自 一 个 合法 源 地 址 。 网 络 上 的 每 台 计 算 机 都 至 少 有 一 个 标识 这 台 计 算 机 的 地 址 。 一 个 攻击 者 
可 以 很 容易 的 生成 网 络 流量 ， 并 欺骗 另 一 台 计 算 机 使 其 认为 该 流量 来 自 于 一 个 合法 源 地 址 ， 
其 方法 就 是 使 用 那 台 机 器 的 地 址 。 

网 络 流量 的 恶意 破坏 可 能 会 拒绝 合法 用 户 的 服务 。 能 够 访问 不 可 信和 网 络 的 人 都 有 能 力 生 
成 大 量 的 垃圾 流量 ， 从 而 使 得 网 络 不 能 工作 。 图 7-1 说 明了 使 用 不 可 信和 网 络 的 时 候 所 面临 的 安 
全 问题 。 

下 面 ， 来 看 一 下 两 种 截然 不 同 的 网 络 一 -SNA 和 TCP/IP-- 一 是 如 何 解决 这 些 问 题 的 。 


7.2 系统 网 络 体系 结构 


系统 网 络 体 系 结构 ( Systems Network Architecture， SNA ) 是 IBM 在 1974 年 发 明 的 ， 它 是 
对 大 规模 计算 机 连 网 的 回答 。SNA 是 第 一 个 进行 如 下 工作 的 : 用 综合 的 体系 结构 来 标识 网 络 
的 所 有 组 件 以 及 这 些 组 件 的 属性 、 性 质 以 及 行为 的 规范 。1985 年 ， 该 体系 结构 中 添加 了 一 些 
功能 ， 它 允许 进行 更 低级 的 对 等 通信 。1992 年 ，IBM 提 出 了 开放 式 蓝图 ， 它 描述 了 分 布 式 系 
统 环境 的 结构 。 现 在 ， 该 体系 结构 已 经 从 主机 中 心 网 络 转 成 了 分 布 式 端 中 心 网 络 。 
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该 体系 结构 使 用 了 会 话 的 概念 。 当 两 个 网 络 节点 互相 联系 ， 并 且 一 致 同意 他 们 进行 通信 
的 原则 ， 那 么 我 们 就 说 他 们 建立 了 一 个 会 话 。 两 个 网 络 节点 之 间 可 以 有 许多 活动 会 话 。 该 体 
系 结构 也 是 建立 在 分 区 ( 围绕 其 来 定义 网 络 ) 概念 上 的 。 一 个 SNA 网 络 中 的 每 个 大 型 计算 机 
和 通信 控制 器 都 有 一 个 分 区 号 。 





图 7-1 不 可 信 网 络 的 问题 


该 体系 结构 最 初 建立 成 一 个 分 层 网 络 ， 并 由 虚拟 远程 通信 接 人 方法 (Virtual 。 
Telecommunications Access Method，VTAM ) 进行 管理 。VTAM 是 控制 IBM 大 型 计算 机 上 网 
络 操作 的 应 用 程序 。 如 果 VTAM 不 知道 或 者 不 担心 ， 那 么 网 络 上 什么 也 不 会 发 生 。VTAM 知 
道 切 ， 看 到 一 切 。 子 系统 控制 点 (Subsystem Control Point，SSCP ) 是 SNA 网 络 的 控制 主 。 
SSCP 控 制 着 从 初始 化 网 络 到 帮助 建立 会 话 的 一 切 网 络 活动 。 


7.2.1 体系 结构 


SNA 是 建立 在 一 个 同 OSI 模型 类 似 的 七 层 模型 基础 上 的 。 开 始 是 物理 层 ， 它 定义 了 网 络 节 
点 是 如 何 连 接 的 (线路 规格 等 )。 数 据 链 路 层 包含 了 网 络 节点 间 的 传输 协议 ， 本 层 把 数据 发 送 
到 物理 层 以 进行 传输 。 网 络 或 者 路 径 控制 层 提供 了 路 由 机 制 和 管理 员 预 定义 的 网 络 路 由 器 。 
传输 或 者 传送 控制 层 调整 一 个 网 络 节点 向 另 一 个 网 络 节点 传输 消息 的 速率 。 如 果 启 用 了 相关 
的 选项 ， 就 会 以 此 模式 进行 加 密 和 解密 。 会 话 或 者 数据 流 控制 层 调整 消息 到 最 终 用 户 的 传递 。 
表示 层 管理 两 个 网 络 节点 之 间 的 数据 流 ， 它 可 能 会 进行 压缩 或 者 翻译 。 应 用 层 管 理 网 络 上 应 
用 程序 的 接口 。 

SNA 下 的 大 量 通信 都 使 用 一 个 面向 连接 的 传输 ， 同 步 数据 链 路 控制 《Synchronous Data 
Link Control，SDLC ) 协议 。SDLC 是 一 个 面向 比特 的 协议 ， 它 把 信息 组 织 成 定义 良好 的 单元 
( 称 做 帧 )。 一 个 面向 比特 的 协议 把 数据 作为 一 个 比特 流 而 不 是 字 节 流 来 进行 传输 。 这 种 类 型 
的 协议 可 以 使 用 特殊 的 比特 流 作 为 控制 码 ， 从 而 代替 面向 字 节 协议 中 使 用 的 保留 字 节 。 网 络 
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路 由 遵循 固定 的 路 径 ， 这 些 路 径 是 在 网 络 初始 化 或 者 具体 路 由 组 件 激活 的 时 候 设置 的 。 流 量 
控制 是 由 具体 服务 的 类 别管 理 的 。 用 于 多 个 网 络 会 话 的 数据 流量 可 以 共享 一 个 网 络 路 由 。 传 
输 优先 级 可 以 在 服务 类 别 的 基础 上 给 定 。 因 为 SDLC 是 一 个 基于 帧 的 协议 ， 所 以 打印 流 和 在 线 
事务 可 以 共享 同一 个 流 ， 这 不 会 对 在 线 服 务 产生 影响 。SDLC 协 议 提供 了 传输 完整 性 ， 从 而 保 
证 所 有 的 消息 帧 都 会 传输 并 且 按 照 正 确 的 顺序 汇合 。 

体系 结构 中 定义 了 节点 概念 ， 节 点 分 为 两 种 : 分 区 节点 和 外 围 节 点 。 有 很 多 种 节点 可 用 
来 描述 不 同 的 网 络 特性 及 其 拥有 的 质量 。 用 于 所 有 网 络 活动 的 根 是 5 类 节点 ， 它 驻 留 在 一 个 主 
机 计算 机 内 。 链 上 的 下 一 个 节点 是 4 类 节点 ， 或 称 为 通信 控制 器 。 这 是 把 所 有 的 网 络 通信 线路 
都 联 在 一 起 的 硬件 单元 。 通 信 控 制 器 是 通过 一 个 程序 加 载 的 ， 该 程序 称 作 网 络 控制 程序 
( Network Control Program，NCP )， 它 定义 了 连接 网 络 的 配置 并 管理 通信 线路 。 大 量 的 低级 
网 络 活动 都 从 大 型 机 转 到 了 通信 控制 器 上 。5 类 节点 和 4 类 节点 都 是 分 区 节点 。 图 7-2 说 明了 体 
系 结构 层次 图 中 各 个 节点 的 关系 。 


大 型 机 . 通信 控制 器 








5 类 节点 4 类 节点 


图 7-2 SNA 网 络 


位 于 通信 线路 另 一 端的 是 2 类 节点 或 者 集群 控制 器 。 这 是 位 于 布线 室内 的 盒子 ， 也 可 以 位 
于 引出 所 有 同 轴 电 缆 的 地 面 。 连 接 到 集群 控制 器 的 是 网 络 访问 终端 ， 这 可 以 是 终端 、PC 和 打 
印 机 。 那 么 3 类 节点 在 哪里 呢 ? 3 类 节点 曾经 看 起 来 很 好 ， 但 是 在 体系 结构 发 布 之 前 其 规范 就 
做 废 了 。 

网 络 可 访问 单元 (Network Accessible Unit，NAU ) 是 体系 结构 的 另 一 个 基础 组 件 。NAU 
实现 了 体系 结构 的 上 四 层 、 事 务 服务 、 表 示 服 务 、 数据 流 控制 以 及 传输 控制 。NAU 可 以 定义 
为 通信 的 实体 ， 而 体系 结构 的 下 三 层 定义 了 NAU 是 如 何 通信 的 。 有 三 种 不 同类 型 的 NAU， 物 
理 单元 (PU ) 一 一 激活 和 管理 链 路 ， 逻 辑 单元 (LU ) 定义 了 支持 的 SNA 功 能 的 类 型 或 者 
特性 ; 控制 点 (CP ) 一 管理 域内 的 网 络 资源 。 我 们 已 经 讨论 了 SSCP， 它 控制 来 自 一 个 5 类 
节点 的 网 络 资源 。 

体系 结构 也 包含 了 对 逻辑 单元 (LU ) 的 定义 。 1 类 LU 是 用 于 打印 机 和 远程 作业 人 口 站 
的 ，2 类 LU 是 用 于 3270 类 型 终端 的 ; 3 类 LU 是 用 于 一 个 3270 类 打印 机 的 ; 4 类 LU 是 用 于 智能 型 
打印 机 的 ; 作为 对 体系 结构 的 扩展 ， 6.2 类 LU 出 现 较 晚 ， 它 指定 了 为 通信 或 者 APPC 编 程 的 应 
用 程序 。 在 SNA 术 语 中 ， 可 以 把 PU 看 成 控制 设备 的 硬件 ， 把 LU 看 成 PU 所 控制 的 设备 。 

体系 结构 的 另 一 个 基础 是 会 话 的 概念 。 会 话 是 网 络 中 两 个 NAU 之 间 的 逻辑 连接 。 两 个 
NAU 之 间 的 物理 连接 定义 成 一 个 用 于 会 话 的 路 由 。 会 话 在 概念 上 同 登 录 到 应 用 程序 上 类 似 。 
一 旦 登录 到 了 一 个 应 用 程序 之 上 ， 就 已 经 建立 了 如 何 同 该 应 用 程序 通信 的 规则 。 一 旦 两 个 
NAU 之 间 建 立 了 一 个 会 话 ， 那 么 它们 之 间 通 信 的 规则 就 建立 了 。 
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应 用 程序 到 应 用 程序 的 通信 

作为 体系 结构 的 一 个 附加 ， 规 范 提供 了 网 络 计算 机 上 应 用 程序 到 应 用 程序 的 通信 
(Application Program-to-Program Communication ，APPC )。APPC 是 开发 用 来 支持 两 个 智能 端 
点 间 的 分 布 式 处 理 的 。 它 定义 了 对 应 用 的 一 个 全 方位 服务 ， 其 中 包括 同步 选项 、 进 程 激活 、 
确定 选项 以 及 错误 管理 。APPC 是 建立 在 LU 6.2 规 范 之 上 的 ， 该 规范 已 经 包括 进 了 很 多 OEM 和 
第 三 方 产品 中 ， 从 而 允许 同 基于 IBM 的 网 络 应 用 程序 进行 基于 应 用 的 通信 。APPC 是 用 于 CICS 
OLTP 产 品 中 分 布 式 事务 处 理 的 通信 工具 ， 它 是 支持 SNA 进 程 间 通信 的 主要 工具 。 

用 于 通信 的 公共 编程 接口 ( Common Programming Interface for Communication ，CPI-C ) 
是 一 个 进步 ， 它 使 得 开发 人 员 可 以 使 用 一 个 对 底层 LU 6.2 结 构 的 公共 接口 来 方便 地 开发 APPC 
应 用 程序 。 该 公共 接口 也 使 得 应 用 程序 只 需要 最 少 的 改变 就 可 以 从 一 种 平台 移 到 另 一 种 平台 
上 。 当 一 对 事务 程序 都 使 用 APPC 的 时 候 ， 两 个 6.2 类 胺 辑 单 元 间 的 会 话 就 建立 了 ， 这 称 是 对 
话 。 对 话 表示 了 两 个 程序 间 的 逻辑 连接 。APPC 是 一 个 机 制 ， 它 在 两 个 网 络 应 用 程序 间 实 现 事 
务 级 上 的 真正 分 布 式 处 理 。 


7.2.2 高 级 对 等 网 络 


1986 年 ，SNA 引 入 了 另 一 项 扩展 ， 高 级 对 等 网 络 ( Advanced Peer-to-Peer Networking， 
APPN )。 它 最 初 是 为 TBM 的 微型 计算 机 市 场 引 人 的 ， 其 目的 是 在 不 需要 大 型 机 的 情况 下 提供 
计算 机 间 的 互 连 。APPN 引 入 了 一 个 新 类 型 的 物理 单元 一 一 2.1 类 PU， 它 使 得 对 等 网 络 成 为 可 
能 ， 而 代替 了 对 分 层 方法 的 需要 。 设 计 APPN 来 处 理 主机 应 用 程序 和 分 布 式 平台 间 的 同 批 类 型 
或 者 会 话 式 通信 中 的 事务 处 理 。 操 作 一 个 网 络 不 再 需要 5 类 节点 。 这 是 从 早期 层次 结构 规范 到 
对 等 网 络 的 一 个 重大 革新 。 

随 着 高 性 能 路 由 (High Performance Routing，HPR ) 的 引入 ，APPN 在 1993 年 迎 来 了 一 个 
更 大 的 发 展 。HPR 带 来 的 基本 改变 是 在 一 个 更 低 的 级 别 而 不 是 前 面 的 APPN 级 别 上 提供 中 间 节 
点 间 的 高 速 路 由 。HPR 由 两 个 主要 组 件 构成 ， 快 速 传输 协议 ( Rapid Transport Protocol，RTP ) 
和 自动 网 络 路 由 (Automatic Network Routing ，ANR )。 快 速 传输 协议 控制 数据 的 高 速 传输 。 
自动 网 络 路 由 是 一 个 高 速 源 路 由 协议 ， 它 在 数据 包 的 网 络 头 携带 整个 路 由 信息 。HPR 定 位 于 
利用 交换 网 络 技术 ， 如 帧 中 继 ( Frame Relay ) 或 者 异步 传输 模式 《Asynchronous Transfer 
Mode, AT™M )。 : 

APPN 有 两 种 已 定义 的 设备 ，APPN 终 端 节点 和 APPN 网 络 节点 。 前 者 是 具有 操作 系统 、 应 
用 程序 以 及 外 围 设备 的 计算 机 ， 后 者 是 在 终端 节点 间 移 动 流量 的 中 间 路 由 节点 。 许多 平台 都 
可 以 操作 为 终端 节点 或 者 网 络 节点 。APPN 支 持 很 多 网 络 协议 和 拓扑 结构 。APPN 网 络 地 址 是 
字母 数字 混 排 的 ， 在 一 个 APPN 子 节点 中 可 以 包括 多 达 10 000 个 节点 。 通过 自动 注册 功能 ， 网 
络 节点 能 够 自动 学 习 端 口 、 链 路 以 及 资源 的 细节 。 APPN 是 能 够 取代 SNA 的 新 型 网 络 结构 。 有 
些 人 认为 它 已 经 取代 了 。 


7.2.3 IBM 开 放 式 蓝图 


1994 年 ，IBM 定 义 了 开放 式 蓝图 ， 这 是 该 公司 下 的 大 赌注 。 开 放 式 蓝图 是 对 几 个 资源 管 
理 服务 的 描述 ， 建 立 在 这 几 个 服务 上 的 分 布 式 应 用 程序 在 分 布 式 、 异 构 的 环境 中 操作 。 该 蓝 
图 的 基本 方法 是 允许 网 络 操 作 系 统 可 以 像 一 个 连 网 操作 系统 那样 操作 。 同 其 他 蓝图 一 样 ， 
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IBM 开 放 式 蓝图 把 各 种 资源 管理 器 组 织 到 了 服务 层 中 。 

基础 层 代 表 物 理 网 络 。 网 络 服 务 层 包 含 了 各 种 网 络 协 议 ， 如 SNA/APPN、TCP/IP、OSI、 
NETBIOS 、IPX， 以 及 公共 传输 语义 ( Common Transport Semantics )。 分 布 式 系统 服务 层 包 
含 了 通信 服务 、 对 象 管理 服务 以 及 分 布 服 务 。 设 计 这 些 服 务 来 提供 分 布 式 应 用 程序 和 资源 管 
理 器 间 的 机 制 。 应 用 程序 和 应 用 程序 启用 服务 提供 了 一 套 资源 管理 器 以 处 理 许多 不 同 专题 ， 
如 表示 服务 、 数 据 访 问 服 务 、 系 统管 理 服务 、 本 地 操作 系统 服务 以 及 开发 工具 等 。 

开放 式 蓝 图 并 不 是 产品 或 者 标准 的 一 个 有 限 规范 ， 它 是 一 个 框架 ， 对 说 明 分 布 式 计算 环 
境 中 关键 功能 和 标准 间 的 关系 是 非常 有 用 的 。IBM 承 认 ， 在 分 布 式 世界 中 有 很 多 不 同 的 技术 
和 标准 都 占有 一 席 之 地 ， 并 且 还 可 能 有 更 多 。 开 放 式 蓝图 是 把 这 些 技术 和 标准 组 织 到 框架 中 
去 的 方法 ， 并 且 也 是 一 个 解释 它们 之 间 关 系 的 方法 。 


7.2.4 SNA/APPN 安 全 性 


用 SNA 实 现 的 层次 化 网 络 中 ， 安 全 性 是 容易 处 理 的 。 外 部 设备 不 可 能 添加 到 网 络 中 。 通 
过 指定 安全 包 ， 如 IBM 公 司 的 资源 访问 控制 工具 (Resource Access Control Facility，RACE ) 
和 CA (Computer Associates， 计 算 机 协会 ) 的 访问 控制 工具 2 ( Access Control Facility， 
ACF2 )， 主 机 e 提 供 了 严格 的 安全 控制 。 当 有 一 个 中 心 点 控制 网 络 的 时 候 ， 对 等 网 络 〈 如 
TCP/IP ) 所 包含 的 许多 脆弱 性 都 避免 了 。 如 SDLC 和 RTP 之 类 的 协议 提供 了 网 络 传输 完整 性 。 
协议 的 实现 包括 了 传输 错误 检查 和 校正 工具 。 分 区 节点 间 的 动态 路 由 和 恢复 能 力 提供 了 网 络 
流量 的 高 可 用 性 。 

数据 安全 性 可 以 在 逻辑 单元 级 上 提供 给 会 话 级 的 加 密 、 逻 辑 单元 到 逻辑 单元 的 校 验 以 及 
终端 用 户 校 验 。 会 话 级 的 加 密 可 以 是 强制 的 ， 可 以 对 所 有 的 数据 都 进行 加 密 ， 也 可 以 只 对 所 
选择 的 数据 字段 进行 加 密 。 会 话 级 加 密 和 LU 到 LU 校 验 都 使 用 数据 加 密 标准 ( Data Encryption 
Standard，DES ) 加 密 协议 。 逻 辑 单元 到 轴 辑 单元 的 校 验 是 建立 在 会 话 激活 过 程 中 LU 提供 的 
密码 的 基础 上 的 。 终 端 用 户 校 验 用 来 对 终端 用 户 进 行 认证 ， 其 方法 是 使 用 密码 。 在 对 话 分 配 
过 程 中 ， 一 个 6.2 类 对 话 将 校 验 该 密码 。 

APPN 和 APPC 可 以 在 会 话 和 对 话 级 上 提供 安全 服务 。 在 两 个 终端 节点 之 间 建 立 一 个 会 话 
之 前 ，APPN 先 要 检查 用 户 提供 的 密码 。 为 了 同 用户 建 立 对 话 ， 应 用 程序 本 身 也 必须 要 提供 一 
个 正确 的 密码 。APPN 和 APPC 安 全 性 可 以 在 网 络 级 上 提供 。 大 多 数 其 他 安全 性 机 制 都 要 依靠 
应 用 程序 级 的 安全 性 。 


7.2.5 SNA/APPN 小 结 


SNA 的 主要 缺点 是 : 它 是 IBM 的 一 个 专利 体系 结构 。 它 同 IBM 硬 件 、 软件 以 及 其 他 与 IBM 
网 络 交互 的 实体 工作 得 非常 好 。SNA 并 不 是 用 来 在 一 个 异 构 环 境 中 进行 互 操作 的 。 该 体系 结 
构 历经 了 几 次 转换 。 对 于 APPN 提 供 的 对 等 网 络 模型 和 SNA 的 层次 模型 ， 人 们 存在 着 争议 。 
APPN 的 改进 让 IBM 重 新 回 到 了 主流 的 分 布 式 环境 中 。 已 经 部 署 SNA 的 组 织 可 能 想 采用 其 他 分 
布 式 系统 ， 对 于 他 们 来 说 ，APPN 是 非常 有 吸引 力 的 。 

开放 式 蓝 图 表明 了 IBM 对 开放 分 布 式 环境 的 承诺 。 该 蓝图 出 现 稍 晚 ， 但 是 它 非常 全 面 ， 
并 且 可 能 有 点 雄心 勃勃 。 开 放 式 蓝图 代表 了 IBM 的 新 动向 ， 控 制 开放 分 布 式 市 场 中 的 每 一 个 
人 。 该 蓝图 的 成 功 将 依赖 于 IBM 对 采用 该 蓝图 产品 和 服务 的 承诺 。 该 蓝图 会 受到 其 他 标准 演 
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变 的 影响 ， 特 别 是 TCP/IP。 
7.3 TCPI/IP 介 绍 


TCP/IP 是 美国 国防 部 开发 的 ， 它 是 DARPA 一 一 国防 部 高 级 研究 计划 局 ( Defense Advanced 
Research Project Agency，ARPA ) 的 一 个 项 目 。 其 设计 宗 骨 是 通过 使 用 包 交 换 技术 在 网 络 中 提 
供 宛 余 。 其 目的 是 创建 一 个 即使 在 一 段 网 络 出 故障 的 情况 下 也 能 继续 保持 功能 的 网 络 协议 。 该 
协议 允许 确定 多 个 路 由 器 并 用 于 一 个 目标 地 址 。 如 果 一 个 路 由 器 出 现 故障 ， 该 协议 可 以 支持 流 
量 的 自动 重 路 由 。TCP/EP 的 第 一 个 大 规模 部 署 是 ARPANET， 这 是 当前 因特网 的 前 身 。 

IP、TCP 以 及 UDP 

TCP/IP 是 一 个 广泛 使 用 的 术语 ， 它 描述 了 因特网 e 许 多 不 同 的 协议 ,其 中 有 IP、TCP、 
UDP、ARP 以 及 ICMP。 因 特 网 协议 ( Internet Protocol，IP ) 是 前 三 个 协议 中 的 低级 协议 。 它 
为 上 面 的 TCP 和 UDP 信息 块 (通称 为 包 ) 的 传输 提供 了 基础 。 一 个 IP 包 中 包含 了 一 个 源 地 址 
和 一 个 目标 地 址 ， 以 及 其 他 包 完 整 性 信息 和 数据 。IP 级 对 包 流 没有 任何 顺序 控制 (如 后 发 的 
包 可 能 先 到 )。 这 是 上 层 协议 或 者 应 用 程序 的 工作 ， 它 们 需要 正确 的 收集 并 汇总 数据 包 。 

传输 控制 协议 (Transport Control Protocol，TCP ) 位 于 IP 协 议 之 上 ， 它 提 供 了 顺序 以 及 
完整 性 控制 。TCP 使 用 序列 号 来 保证 包 按照 正确 的 顺序 重组 ， 并 且 重 发 丢失 的 包 。 因 为 这 些 
完整 性 控制 ，TCP 当 然 会 有 一 些 开销 。 

用 户 数据 报 协议 (User Datagram Protocol，UDP ) 是 另 一 种 传输 替代 方案 。UDP 具 有 有 
限 的 完整 性 检查 和 顺序 控制 。 包 在 传输 过 程 中 有 可 能 委 失 ， 或 者 到 达 顺 序 有 误 。 应 用 程序 可 
自由 处 理 包 的 定 序 和 重 传 问题 。 有 些 应 用 程序 需要 那么 做 ， 而 有 的 则 不 需 ， 所 以 UDP 是 一 个 
好 的 起 点 。UDP 通 常用 于 消息 和 挑战 /响应 应 用 程序 ， 这 类 应 用 不 要 求 完 整 性 检查 或 者 顺序 控 
制 。 大 多 数 UNIX 系 统 用 来 共享 磁盘 资源 的 网 络 文件 系统 (Network File System，NFS ) 就 是 
基于 UDP 的 (但 是 它 也 可 以 运行 在 TCP 上 )， 很 多 人 对 此 十 分 族 异 。NFS 知 道 UDP 的 限制 ， 它 
添加 了 额外 的 控制 以 保证 数据 传输 的 完整 性 。 

地 址 解析 协议 ( Address Resolution Protocol，ARP ) 是 用 来 转换 两 个 不 同类 型 地 址 的 方 
法 。 例 如 ，ARP 可 以 把 高 级 的 IP 地 址 转化 成 以 太 网 ( 或 者 链 路 级 ) 地 址 。 其 他 类 型 的 LAN， 
如 FDDI， 使 用 了 其 他 机 制 ， 如 SNAP。 在 某 种 程度 上 ，ARP 更 像 是 以 太 网 而 不 是 IP 的 一 部 分 。 
以 太 网 地 址 是 硬件 设备 ( 如 LAN 卡 和 网 桥 ) 使 用 的 低级 地 址 。ARP 提 供 了 一 个 IP 地 址 到 硬件 
地 址 的 映射 。 一 些 蔡 代 协议 ， 如 RARP 和 BOOTP， 提 供 了 一 个 硬件 地 址 到 IP 地 址 的 逆向 映射 。 
















TCP 与 UDP、 信 使 与 邮政 服务 之 间 可 以 进行 一 个 对 比 。UDP 与 使 用 一 项 邮政 服务 来 交 
换 明信片 类 似 ， 而 TCP 则 类 似 于 使 用 一 个 信使 服务 。 当 你 使 用 邮政 服务 或 者 一 个 信使 来 发 
送 大 量 包 的 时 候 ， 包 囊 是 否 会 到 达 其 目的 地 是 没有 保证 的 。 可 能 有 一 个 ， 也 可 能 全 部 都 丢 
失 ， 这 同 所 选择 的 方法 无 关 。 但 是 一 般 来 说 ，100 次 中 有 99 次 会 到 达 ! 如 果 一 个 邮寄 包 器 没 
有 到 达 ， 那 么 接收 方 可 能 根本 不 知道 它 丢失 了 (除非 发 送 方 告诉 了 他 会 有 3 个 包 到 达 ， 而 他 
只 发 现 了 2 个 )。 即 使 你 知道 丢失 了 一 个 包 事 ， 你 也 没有 什么 简单 办 法 去 跟踪 那个 包 囊 。 
TCP 同 使 用 一 项 信使 服务 类 似 。 在 这 种 情况 下 ， 每 个 包 囊 都 附 了 一 封 信 ， 指 派 了 一 个 
控制 号 ， 并 且 记 录 了 该 包 训 中 物品 的 个 教 。 传递 过 程 事先 通知 给 了 接收 方 ， 并 且 他 知道 
会 到 达 多 少 个 包 训 。 竹 庸 置疑 ， 这 项 服务 肯定 要 比 使 用 邮寄 服务 责 。 
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简单 网 络 管理 协议 ( Simple Network Management Protocol，SNMP ) 是 一 个 更 高 级 的 协 
议 。 它 同时 使 用 TCP/IP 和 UDP/IP 来 在 SNMP 代 理 和 一 个 SNMP 管 理 者 之 间 进 行 通信 。SNMP 被 
用 来 提供 很 多 种 网 络 管理 服务 。 一 个 本 地 系统 或 者 设备 会 包含 一 个 管理 信息 基础 
(Management Information Base，MIB )， 这 包含 了 本 地 SNMP 代 理 所 维护 的 信息 。 使 用 SNMP 
协议 ，SNMP 管 理 者 会 查询 ， 或 者 能 够 更 新 这 些 变化 的 信息 。 

因特网 控制 消息 协议 (Internet Control Message Protocol，ICMP ) 是 被 一 个 IP 网 络 用 来 监 
视 和 控制 网 络 上 之 流量 的 。 例 如 ，ping 服 务 就 使 用 了 该 协议 ， 该 项 服务 可 以 确定 一 个 远程 目 
标 地 址 是 否 为 可 达到 的 。 该 协议 也 被 用 来 提供 路 由 信息 ， 或 者 作为 一 个 消息 传输 。 


7.3.1 基本 的 TCP/IP 结 构 


使 用 TCP/IP 通 信和 要 跨越 五 个 独立 的 层次 ， 其 中 每 个 都 有 其 自己 的 责任 。 它 们 是 应 用 程 
序 、 传 输 、 网 络 、 链 路 和 物理 层 。 与 客户 交互 的 是 应 用 层 ， 它 可 以 是 一 个 应 用 程序 、 一 个 操 
作 系 统 工具 或 者 一 项 TCP/IP 网 络 服务 。 后 者 包括 终端 会 话 以 及 文件 传输 和 打印 服务 。 传 给 
层 用 来 保证 传输 数据 的 完整 性 ， 并 为 流量 的 移动 做 准备 。 数 据 包 的 顺序 和 重组 在 该 层 进行 。 
网 络 层 的 责任 是 通过 网 络 为 包 选 择 路 由 。 它 实际 上 提供 了 一 个 空中 交通 控制 功能 ， 保 证 了 包 
能 够 找到 其 目的 。 然 而 ， 网 络 层 没有 一 个 联邦 范围 内 管辖 的 空中 交通 控制 系统 所 具有 的 任何 
权力 。 链 路 层 的 任务 是 保证 数据 在 网 络 节点 间 的 正确 传输 。 应 该 指出 ，TCP/IP 可 以 运行 在 
多 种 通信 链 路 上 ， 这 包括 以 太 网 、 令 牌 环 网 以 及 串 行 线路 。 物 理 层 是 由 支持 TCP/IP《〈 但 不 
是 TCP/IP 的 一 部 分 ) 的 一 些 硬件 设备 组 成 的 。 它 包括 线 缆 和 网 络 设备 ， 如 集线器 、 网 桥 以 
及 路 由 器 。 

TCP/IP 的 基本 通信 单元 是 包 。 包 具有 多 种 格式 和 大 小 ， 这 取决 于 包括 所 使 用 的 协议 在 内 
的 很 多 因素 。 图 7-3 说 明了 包含 在 IP 包 和 TCP、UDP 包 中 的 信息 类 型 。 























图 7-3 IP、TCP 和 UDP 的 概念 视图 
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7.3.2 TCP/IP 工 作 原 理 


为 了 理解 TCRP/IP 的 工作 ， 我 们 来 看 一 下 一 个 简单 的 telnet 会 话 后 所 隐藏 的 东西 。Telnet 是 
一 个 TCP/IP 服 务 ， 它 允许 用 户 同 一 台 服 务 器 进行 远程 终端 会 话 。 如 果 一 个 用 户 想 从 他 的 机 器 
my.own.box.com 启 动 一 个 到 服务 器 where.am.i.com 的 telnet 会 话 ， 那 么 它 可 以 输入 


telnet where,.am.i.com 


服务 器 的 名 字 是 where， 它 位 于 suborg.i.com 域 中 。 其 中 的 com 表 明 一 个 公司 〈 其 他 如 gov 
代表 政府 ，edu 表 示 教 育 组 织 )，i 是 公司 指示 ( 如 hp 代表 Hewlett-Packard )，suborg 是 次 项 (如 
研究 )。 如 果 发 现 的 话 ， 服 务 器 会 响应 ， 要 求 提供 一 个 有 效 的 用 户 ID 及 其 密码 。 这 两 项 信息 都 
输入 了 以 后 ， 终 端 会 话 就 开始 了 。 这 看 起 来 很 简单 ， 但 是 后 面 要 进行 很 多 工作 。 图 7-4 说 明了 
在 终端 会 话 可 以 开始 之 前 必须 要 进行 的 许多 操作 。 


telnet where.am.i.com 服务 器 


汇总 的 包 中 包括 
- 源 地 址 和 目标 地 址 
-顺序 控制 
-端口 号 〈 例如 23 ) 
-数据 














路 由 器 动态 路 由 包 ， 为 服务 器 上 的 LAN 网 卡 


其 选择 去 往 am.i.com 局 监听 去 往 其 处 的 流量 
域 网 的 最 佳 已 知 路 由 


和 路 由 器 


图 7-4 TCP/IP 工 作 原 理 的 一 个 例子 


现在 我 们 看 一 下 这 个 连接 是 如 何 建立 的 。 首 先 ， 我们 不 想 为 telnet 服 务 发 送 一 个 六 字符 的 
请 求 。 如 果 我 们 用 一 个 两 字 节 的 数字 来 引用 telnet， 那 么 在 时 间 和 空间 上 效率 都 将 大 大 提高 ， 
这 是 因为 ASCII 字 符 串 比较 要 比 数字 慢 。 在 TCP/IP 的 术语 中 ， 这 个 数字 称 做 端口 号 。 用 于 
telnet 的 端口 号 是 23， 并 且 由 于 23 一 般 是 用 于 telnet 的 ， 所 以 它 称 为 一 个 已 知 端口 。TCP/IP 实 际 
上 会 同时 使 用 目标 和 源 端口 号 ， 它 允许 客户 机 和 服务 器 间 的 对 话 使 用 未 用 的 端口 。 根 据 
TCP/IP 服 务 ， 服 务 器 用 来 回答 客户 机 的 端口 可 能 只 在 连接 时 间 才 确定 下 来 。 如 果 我 们 希望 为 
基于 某 个 端口 的 服务 中 断 流量 ,那么 这 会 带 来 复杂 性 ， 其 原因 在 于 不 能 精确 地 确定 服务 器 可 
能 会 使 用 哪个 端口 来 响应 。 

端口 号 不 是 惟一 需要 转化 的 东西 。 服 务 器 的 名 字 where.am.i.com 必 须要 转化 成 一 个 32 位 的 
IP 目 标 地 址 。 机 器 名 my.own.box..com 也 要 转化 成 一 个 源 IP 地 址 。IP 地 址 是 由 系统 管理 员 指 派 
的 ， 但 是 并 不 保证 它 在 组 织 内 的 惟一 性 ， 更 别 说 在 世界 范围 内 了 。 这 些 地 址 对 于 每 台 机 器 来 
说 应 该 是 惟一 的 ， 但 是 TCP/IP 没 有 任何 办 法 来 保证 这 种 惟一 性 。 然 而 ， 有 中 心 管理 局 (NIC 
和 InterNIC ) 来 注册 因特网 地 址 和 在 一 个 组 织 外 可 见 的 域名 。 在 一 个 独立 组 织 内 部 ， 一 般 有 一 
个 中 心 管理 部 门 (例如 网 络 组 ) 来 处 理 和 控制 IP 地 址 的 使 用 。 但 是 需要 指出 的 是 ， 并 没有 关 
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于 地 址 的 强制 规定 ， 这 完全 在 本 地 系统 管理 员 的 控制 之 下 。 

用 于 已 知 机 器 的 IP 地 址 可 以 保存 在 本 地 系统 上 。 但 是 更 常见 的 做 法 是 使 用 一 个 IP 查 询 服 
务 把 机 器 名 转化 为 一 个 IP 地 址 ， 其 方法 有 域名 系统 (Domain Name System，DNS ) 或 者 网 络 
信息 服务 (Network Information Service，NIS )。 

此 外 ， 由 于 IP 地 址 不 用 在 链 路 层 上 ， 所 以 还 需要 进行 另 一 项 转化 工作 。 链 路 层 使 用 一 个 
独立 的 地 址 ， 它 称 做 链 路 层 地 址 。 链 路 层 地 址 是 由 LAN 卡 的 生产 商 提供 的 。 尽 管 这 些 地 址 对 
于 每 个 卡 来 说 应 该 是 惟一 的 ， 但 是 它们 也 可 以 改变 。UNIX 和 DOS 系 统 都 允许 系统 管理 员 修改 
链 路 层 地 址 。 用 一 个 专门 的 工具 来 把 PP 地址 转化 成 链 路 层 地 址 。 对 于 以 太 网 来 说 ， 用 地 址 解 
析 协 议 来 执行 此 操作 。 

包 正 确 地 格式 化 后 ， 它 就 通过 LAN 卡 在 LAN 连 接 上 进行 传输 。 去 往 服务 器 的 实际 路 由 可 
能 会 变化 ， 其 原因 在 于 TCP/IP 网 络 不 断 的 发 现 并 使 用 去 往 远程 网 络 的 新 路 由 器 。 如 果 本 地 路 
由 器 不 知道 夫 往 am.i.com 子 网 的 直接 路 由 ， 那 么 它 会 把 包 转 发 给 一 个 默认 路 由 器 。 路 由 器 永 
远 也 不 会 猜测 下 一 个 目的 地 。 它 们 或 者 有 一 个 去 往 目 的 网 络 的 明确 路 由 ， 或 者 有 一 个 用 于 
“其 他 一 切 ”的 默认 路 由 。 该 默认 路 由 器 可 能 依次 把 包 传递 到 另 一 个 路 由 器 上 。 如 果 在 一 个 可 
接受 的 时 间 内 没有 发 现任 何 路 由 ， 那 么 就 会 返回 给 用 户 “网 络 不 可 到 达 ” 的 错误 。 目 标 服务 
器 在 其 LAN 卡 上 不 断 地 监听 ， 当 以 它 为 目的 地 的 telnet 包 路 过 时 ，LAN 卡 就 会 接收 该 包 。 然 后 ， 
服务 器 检查 该 包 ， 并 响应 服务 请 求 ， 发 送 一 个 包 来 初始 化 登录 顺序 。 一 个 返回 包 可 能 会 也 可 
能 不 会 沿 着 初始 请 求 的 路 由 。 两 台 机 器 要 交换 包含 登录 请 求 、 用 户 ID、 密码 提示 以 及 真正 密 
码 的 包 。 所 有 交换 的 数据 ， 包 括 用 户 ID 和 密码 在 内 ， 都 是 以 人 类 可 读 的 形式 保存 在 数据 字段 
中 的 。 


7.3.3 网 际 协议 是 可 信任 的 吗 


绕 过 使 用 TCP/IP 和 UDP/IP 协 议 的 操作 系统 和 应 用 程序 所 具有 的 安全 性 是 很 容易 的 ， 有 许多 
方法 可 供 选 择 。 如 果 没 有 补偿 控制 ( 如 包 加 密 )， 这 些 协 议 对 于 下 面 的 操作 来 说 是 非常 脆弱 的 : 

。 包 监听 。 1 

*。 泄漏 。 

。 伪 造 地 址 ( 欺骗 )。 

。 顺 序 攻击 。 

*。 路 由 攻击 。 

。 拒 绝 服务 。 

。 诊 断 地 址 。 

1. 包 监 听 

TCP/IP 协 议 不 会 阻止 LAN 上 的 任何 用 户 ， 所 以 谁 都 可 以 跟踪 包 。 有 大 量 公开 软件 可 用 于 
此 目的 ， 另 外 厂商 也 提供 了 很 多 诊断 软件 ， 它们 都 可 以 用 来 截获 和 分 析 网 络 流量 。 数 据 包 的 
内 容 也 可 以 检查 并 修改 。 

使 用 这 些 工具 来 截获 大 多 数 密码 是 很 容易 的 ， 这 是 因为 密码 大 都 以 明文 的 形式 进行 传输 。 
有 些 操作 系统 和 中 间 件 服务 ， 如 Windows NT 和 Kerberos， 使 用 其 自己 的 加 密 服务 来 保护 用 户 
密码 。 但 是 即使 密码 加 密 了 ， 攻 击 者 也 有 可 能 认 出 一 个 包 是 属 于 一 次 登录 过 程 的 。 攻 击 者 可 
以 拷贝 密码 包 ， 然 后 修改 源 地 址 ， 接着 把 该 包 转 发 到 重 放 攻击 的 服务 器 上 。 
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2. 泄漏 

当 一 个 网 络 设备 错误 地 提供 了 信息 ， 如 网 络 地 址 或 者 服务 时 ， 就 发 生 了 泄漏 ， 这 些 信 息 
对 一 个 不 可 信和 网 络 应 该 是 保持 隐秘 的 。 导 致 泄漏 的 最 常见 原因 包括 网 络 设备 的 不 正确 设置 以 
及 在 重新 配置 网 络 设备 上 的 访问 列表 时 不 注意 暴露 了 网 络 。 大 多 数 路 由 器 上 的 访问 控制 单 都 
是 应 该 严格 进行 配置 的 。 很 多 网 络 管理 员 都 曾经 因为 一 个 简单 的 配置 错误 而 把 一 个 受 保护 的 
网 络 暴露 给 攻击 者 ， 当 发 现 以 后 ， 他 们 无 比 震惊 ! 

3. 伪造 地 址 

许多 TCP/IP 服 务 ， 包 括 伯克利 “r” 命 令 、NFS 以 及 X Window 在 内 ， 都 要 在 一 个 网 络 标识 
的 基础 上 对 客户 进行 授权 。 这 种 类 型 的 授权 通常 都 要 牵扯 到 访问 控制 列表 的 使 用 。 访 问 控制 
列表 在 客户 机 器 名 或 者 IP 地 址 的 基础 上 对 其 授权 。 问 题 在 于 源 地 址 以 及 包 内 的 其 他 所 有 字段 
都 是 可 以 改变 的 。 在 利用 这 种 脆弱 性 的 地 方 ， 大 量 的 最 近 攻 击 都 记录 下 来 了 。 

现在 问题 来 了 :“ 如 果 源 地 址 伪造 了 ,那么 攻击 者 如 何 从 攻击 中 接收 任何 信息 ? ”答案 是 ， 
在 许多 情况 下 ， 攻 击 者 会 利用 一 些 不 需要 响应 的 技术 。 例 如 ， 攻 击 者 可 以 把 密码 文件 e-mail 给 
他 的 攻击 ， 这 种 攻击 不 需要 一 个 有 效 的 源 地 址 或 者 任何 应 答 包 的 接收 方 ， 它 只 需要 一 个 有 效 
的 电子 邮件 地 址 。 
` 技术 并 不 限定 于 软件 服务 ， 它 还 可 以 用 来 对 付 网 络 设备 ， 如 路 由 器 。 作 为 防火 墙 配置 上 
的 过 滤器 ， 路 由 器 可 能 会 被 欺骗 ， 从 而 允许 来 自 外 部 的 非法 包 进 和 人 内 部 网 络 。 假 设 路 由 器 遇 
到 了 一 个 其 源 地 址 来 自 于 内 部 网 络 的 包 , 但 该 包 可 能 是 来 自 内 部 网 络 之 外 的 ， 路 由 器 就 被 散 
骗 了 ， 从 而 允许 该 分 组 进入 内 部 网 络 。 如 果 一 个 路 由 器 上 有 三 个 或 更 多 个 LAN 卡 ， 并 且 其 中 
之 一 连接 到 一 个 外 部 网 络 ， 那 么 问题 更 加 明显 。 该 路 由 器 应 该 放行 内 部 流量 而 过 滤 外 部 流量 ， 
但 是 它 可 能 会 被 欺骗 从 而 放行 伪造 的 流量 。 


我 们 可 以 把 多 LAN 卡 路 由 器 的 问题 和 一 个 不 对 来 自 国内 的 和 来 自 国 外 的 隧 客 进行 隔 
离 的 国际 机 场 进行 一 下 上 比较。 确定 哪些 乘客 来 自 国外 并 把 这 些 来 客 同 国内 旅客 区 分 开 来 
可 能 是 非常 困难 的 。 能 够 过 滤 传 入 包 的 路 由 器 可 以 极 大 地 克服 这 些 问题 。 










4. 顺序 攻击 

一 些 TCP/IP 服 务 使 用 随机 数字 来 确定 它们 在 通信 和 认证 过 程 (有 些 情况 下 ) 中 的 位 置 。 
连接 建立 以 后 ， 客 户 机 和 服务 器 共享 一 个 公共 的 TCP/IP 序 列 号 。 这 里 使 用 了 两 个 数字 ， 一 
通知 客户 机 应 期 待 服务 器 上 的 娜 个 帧 ; 另 一 个 通知 服务 器 应 期 待 客户 机 上 的 哪个 帧 。 当 客户 
机 向 服务 器 发 送 了 一 个 顺序 请 求 的 时 候 ， 它 将 提供 共享 的 序列 号 作为 通信 和 顺序 的 证 明 。 问 题 
在 于 在 有 些 实现 中 ,序列 号 不 是 随机 的 ， 因 此 可 以 猜测 或 者 计算 。 这 就 使 得 攻击 者 可 以 绕 过 
正常 的 认证 过 程 ， 其 方法 是 提交 一 些 包 来 思 并 服 务 器 以 使 其 认为 认证 已 经 进行 了 。 

i 攻击 者 可 以 构造 一 个 请 求 并 发 送 到 一 个 支持 伯克利 主机 等 效 性 服务 的 UNIX 系 统 上 

服务 会 使 服务 器 相信 ， 即 使 没有 进行 认证 客户 机 也 是 可 信 的 )。UNIX X Window 和 网 络 文 
件 系统 服务 以 及 Novell Netware LOGIN 认 证 ， 都 曾 受到 过 这 种 攻击 。 尽 管 这 不 是 一 个 
TCP/IP 网 络 问题 ， 并 且 它 属于 使 用 这 种 模式 的 应 用 程序 服务 ， 但 是 它 仍然 是 一 个 间 TCP/IP 的 
使 用 相关 的 问题 。 

5. 路 由 攻击 

TCP/IP 网 络 不 断 地 发 现 去 往 他 们 希望 与 之 通信 的 网 络 的 新 路 由 。 路 由 器 传递 外 部 网 络 的 
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信息 ， 并 且 只 要 在 合适 的 时 候 它们 就 会 建议 去 往 那 些 网 络 的 新 路 由 。 从 一 个 不 可 信 的 源 地 址 
接受 的 路 由 信息 应 该 怀疑 。 对 于 那些 用 于 内 部 网 络 的 路 由 信息 来 说 ， 这 更 要 注意 。 


这 里 可 以 做 一 个 对 比 。 假 设 有 一 个 农村 的 孩子 要 从 镇 上 回 家 ， 他 向 人 打听 回 家 的 最 
佳 路 径 。 如 果 有 人 向 他 推荐 了 一 条 路 ， 但 是 这 条 路 必须 要 通过 一 条 荒废 的 市 区 小 径 ， 那 


么 这 个 孩子 可 能 会 起 疑 。 如 果 这 个 孩子 还 带 着 钱包 的 话 ， 他 可 能 会 更 加 怀疑 ! 


6. 拒绝 服务 攻击 

拒绝 服务 攻击 就 是 怀 有 恶意 地 试图 阻止 其 他 人 获得 对 服务 的 使 用 。 攻 击 者 可 以 使 用 很 多 
手段 ， 如 把 大 量 的 邮件 消息 发 送 到 某 个 邮件 地 址 从 而 导致 磁盘 空间 问题 。 或 者 ， 生 成 大 量 的 
垃圾 LAN 流 量 从 而 导致 网 络 不 可 用 。 : 

7. 诊断 攻击 

大 多 数 TCP/IP 机 器 都 关联 着 一 个 指定 地 址 。 该 地 址 用 于 提供 对 LAN 卡 的 本 地 诊断 支持 。 
当 独立 运行 时 ， 许 多 网 络 服务 也 使 用 本 地 回环 地 址 。 例 如 ， 一 个 DNS 解 析 器 可 以 使 用 回环 地 
址 来 同 运行 在 同一 主机 上 的 名 字 服 务 器 通信 。 通 常 该 地 址 是 127.0.0.1， 并 称 做 回环 地 址 。 因 
为 攻击 者 知道 该 地 址 存在 于 许多 机 器 上 ， 所 以 他 们 过 去 曾 操纵 过 它 。 实 际 上 ， 任 何 去 往 回环 
地 址 的 网 络 通信 都 应 该 看 做 是 无 效 的 ， 路 由 器 和 网 桥 应 该 丢弃 这 些 包 。 


7.3.4 提高 IP 网 络 的 安全 性 


解决 不 可 信 网 络 的 安全 性 问题 可 以 采用 对 敏感 网 络 流量 进行 加 密 的 方案 。 不 幸 的 是 ， 对 
网 络 流量 进行 加 密 需 要 很 高 的 成 本 。 加 密 设 备 成 本 不 菲 ， 并 且 加 密 也 会 带 来 性 能 影响 。 

用 来 增强 耳 网 络 安全 性 的 最 常用 方法 是 把 网 络 化 分 成 多 个 子 网 。 路 由 器 和 网 桥 可 用 来 把 
网 络 分 割 成 多 个 部 分 ( 子 网 )。 在 互 连 的 网 络 之 间 流 量 可 以 过 滤 ， 而 大 多 数 流量 保持 在 本 地 工 
作 组 中 。 路 由 器 和 网 桥 把 目标 不 是 外 部 网 络 的 流量 限定 在 本 地 工作 组 中 。 子 网 控制 的 实现 阻 
止 了 对 网 络 流量 的 监听 ， 其 原因 在 于 限制 了 可 以 从 一 个 节点 上 监听 的 流量 数量 。 

图 7-5 说 明了 如 何在 TCP/IP 网 络 上 实现 附加 的 安全 性 。 

集线器 可 以 配置 成 只 允许 对 预定 义 的 硬件 地 址 进行 访问 ， 从 而 防止 了 对 LAN 的 未 授权 访 
问 。 如 果 发 现 了 新 设备 ， 集线器 也 可 以 把 这 一 变化 情况 转发 给 网 络 操作 软件 。 网 络 中 也 可 以 
使 用 能 够 进行 加 密 和 保护 的 安全 路 由 器 。 这 些 路 由 器 可 用 来 保证 一 个 暴露 连接 〈 如 两 个 建筑 
物 之 间或 者 同一 个 远程 子 网 的 连接 ) 上 流量 的 完整 性 和 机 密 性 。 还 有 其 他 一 些 办 法 ， 如 建立 
一 个 询问 -响应 认证 ， 特 别 是 针对 于 通过 一 个 因特网 防火 墙 的 人 P 欺 骗 。 我 们 将 在 第 14 章 中 介绍 
防火 墙 和 其 他 因特网 安全 技术 的 使 用 。 

重要 的 是 ， 网 络 设计 者 应 该 具有 安全 性 意识 ， 从 而 在 网 络 的 可 信和 不 可 信 部 分 建立 边界 。 
路 由 器 和 网 桥 提 供 了 对 来 自 网 络 不 可 信 部 分 的 未 经 授权 的 流量 进行 过 小 的 能 力 。 不 仅仅 来 自 
不 可 信 网 络 的 流量 可 以 过 滤 ， 更 常见 的 做 法 是 在 服务 类 型 ( 如 端口 号 ) 的 基础 上 进行 过 滤 。 
例如 ， 如 果 产 生 于 本 地 工作 组 之 外 ， 那 么 所 有 的 X Window 流 量 都 可 以 阻止 。 

子 网 化 还 有 其 他 一 些 好 处 ， 如 建立 匿名 管理 域 的 能 力 。 一 个 子 网 地 址 范围 内 的 耳 地 址 可 
以 分 派 给 一 个 本 地 工作 组 。 例 如 ， 可 以 为 一 个 软件 开发 组 分 配 某 个 范围 的 地 址 。 由 于 软件 开 
发 组 需要 高 级 的 特权 和 环境 的 不 稳定 性 ， 所 以 通常 他 们 没有 太 严 格 的 安全 控制 。 可 以 采用 一 
个 可 信子 网 方法 来 允许 开发 工作 组 进行 任意 行为 ， 但 要 把 其 同 内 部 网 隔离 开 。 这 防止 了 松散 
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安全 性 的 滥用 一 一 许多 开发 环境 都 有 这 个 问题 。 


本 地 子 网 一 













路 由 器 用 来 限 
定 与 工作 组 的 


路 由 器 





安全 路 由 器 用 
来 对 一 个 
WAN 上 的 流 
量 进行 加 密 


WAN 


HUB 探 测 工作 
组 中 的 新 设备 


提高 网 络 性 能 和 安全 性 不 是 两 个 互相 排斥 的 目标 ， 这 是 个 好 消息 。 用 于 实现 一 个 目 


标的 方案 和 技术 也 可 以 用 于 另 一 个 目标 。 子 网 的 使 用 勾画 出 了 网 络 的 前 景 。 大 多 数 网 络 
流量 都 符合 老 电话 公司 Pareto 原 则 或 者 “80/20” 原 则 一 一 80% 的 通信 是 本 地 的 ，20% 是 通 
往外 部 的 。 和 如果 这 一 规则 可 用 于 网 络 流量 ， 那 么 尽量 把 流量 限定 在 本 地 子 网 内 部 就 是 非 
常 可 取 的 。 这 会 提高 网 络 其 余部 分 的 性 能 。 





构建 可 信子 网 的 趋势 是 路 由 器 必须 允许 一 些 流量 通过 一 一 如 果 什 么 都 不 通过 的 话 ， 那 么 
连 网 是 为 了 什么 呢 ? 但 是 过 滤器 应 用 到 了 可 能 伪造 的 耻 地 址 。 过 小 模式 有 点 难以 实现 。 这 样 
网 络 就 有 漏洞 可 用 。 可 信子 网 的 管理 也 需要 很 多 工作 ， 并 且 可 能 会 用 到 一 些 非常 复杂 的 网 络 
管理 工具 来 提供 支持 。 还 有 ， 使 用 一 个 可 信子 网 方法 并 不 会 阻止 来 自 子 网 边界 内 部 的 攻击 。 
从 可 信子 网 内 部 到 不 可 信 互 连 网络 的 流量 仍旧 是 暴露 的 。 ， 

尽管 存在 着 这 些 局 限 性 ， 许 多 组 织 仍旧 成 功 地 把 他 们 的 网 络 分 成 了 多 个 可 信子 网 。 这 是 
否 是 一 个 合适 的 方案 要 取决 于 当前 连 网 计算 的 使 用 以 及 企业 的 文化 。 


7.3.5 将 来 的 开发 


现在 TCP/IP 世 界面 对 着 一 个 重要 问题 。 由 于 该 协议 在 因特网 上 的 巨大 流行 ， 现 在 可 用 的 
IP 地 址 快 用 光 了 。 为 了 给 该 问题 提供 一 个 解决 方案 ， 一 个 称 做 IPng (IP Next Generation,，IP 
下 一 代 ) 的 工作 组 已 经 建立 了 。 其 解决 方案 称 作 卫 第 6 版 (IPv6 )。 在 该 方案 中 ,因特网 地 址 
从 当前 的 32 位 扩展 到 了 128 位 ， 并 且 该 方案 还 有 一 些 其 他 的 改进 。 这 种 地 址 扩展 会 极 大 地 增加 
可 用 地 址 的 数量 。 然 而 ， 存 在 一 个 问题 ， 要 求 IPng 解 决 许多 其 他 的 问题 。 这 就 增加 了 IPv6 的 
复杂 性 ， 并 推迟 了 IPv6 的 发 布 日 期 。IPv6 中 也 涉及 到 网 络 安全 性 问题 ， 它 使 用 了 一 些 方法 来 
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认证 一 个 包 的 源 地 址 并 为 包 内 容 提供 加 密 。 

因特网 协议 安全 组 (Internet Protocol Security Group，IPSEC ) 正在 评审 一 些 安全 增强 机 
制 ， 其 中 包括 认证 控制 、 加 密 、 校 验 和 以 及 访问 控制 功能 。 该 体系 结构 将 对 公 钥 加 密 技 术 起 
到 了 重要 作用 ， 它 由 一 个 密 钥 管理 和 安全 封装 协议 组 成 。 密 钥 管理 协议 会 生成 加 密 密 钥 ， 并 
对 传输 的 发 送 方 进行 认证 。 安 全 封装 会 保护 流量 ， 并 提供 各 种 级 别 的 机 密 。 此 技术 标准 已 经 
在 Internet RFCs 1825~1829 中 进行 了 文档 化 。 


7.4 _ SNA 同 TCPHP 的 安全 性 比较 


这 是 两 种 根本 不 同 的 网 络 。SNA 对 所 有 的 网 络 连 接 都 进行 授权 ， 而 TCP/IP 连 接 是 不 授权 
的 。SNA 采 用 层次 化 设计 ， 而 TCP/IP 是 对 等 式 的 。SNA 使 用 固定 路 径 ， 而 TCP/IP 使 用 动态 路 
由 。SNA 的 性 能 是 高 度 可 预测 的 ， 并 且 能 够 管理 。TCP/IP 的 分 布 式 体系 结构 导致 网 络 响应 时 
间 的 变化 很 大 ， 这 取决 于 网 络 流量 。 然 而 ，TCP/IP 可 用 于 很 多 种 平台 上 ， 并 且 容 易 进行 设置 ， 
也 容易 同 其 他 计算 机 进行 通信 。 此 外 ， 世 界 上 最 大 的 网 络 一 一 因特网 一 一 是 基于 TCP/IP 的 。 
尽管 层次 化 的 SNA 会 对 SNA 网 络 的 所 有 连接 都 进行 授权 ， 但 这 并 不 意味 着 一 个 SNA 网 络 的 安 
全 性 就 不 能 被 破坏 。 使 用 一 个 SNA 协 议 分 析 器 ， 就 可 以 截获 和 分 析 SNA 流 量 。 同 TCP/IP 一 样 ， 
SNA 网 络 中 的 密码 也 以 可 读 的 形式 进行 传输 。SNA 不 提供 数据 加 密 或 者 保护 服务 ， 它 们 不 是 
传输 的 一 部 分 。 

总 的 来 说 ，SNA/APPN 体 系 结构 的 安全 性 不 像 TCP/IP 中 的 那样 容易 破坏 。 APPN 是 建立 用 
来 处 理 高 端的 、 关 键 任务 的 、 分 布 式 的 应 用 的 ， TCP/IP 是 发 明 用 来 处 理 匿 名 管理 域 间 的 大 范 
围 通 信 的 。 尽 管 SNA 有 一 个 明显 的 已 建立 的 基础 ， 但 TCP/ 卫 在 计算 世界 中 确立 了 更 加 牢固 的 
“市 场地 位 ”"”， 并 且 仍 在 快速 增长 。 当 前 ，APPN 的 市 场 突破 和 增长 尚 不 明朗 。 

如 果 要 达到 SNA 网 络 环境 所 具有 的 信任 程度 ， TCP/IP 环 境 需 要 提供 另外 的 安全 功能 。 直 
到 现在 ， 所 需 安 全 控制 是 建立 于 协议 中 ， 还 是 设计 进 使 用 该 协议 的 服务 和 应 用 程序 中 ， 还 是 
不 明朗 的 。 并 且 也 有 可 能 采取 其 他 方法 。 


7.5 结论 


在 机 制 可 用 于 提供 对 监听 和 其 他 人 侵 行为 的 保护 之 前 ,我 们 有 两 个 选择 。 可 以 接受 风险 ， 
并 等 待 现 有 协议 的 改进 ; 或 者 可 以 使 用 补偿 控制 来 降低 风险 。 补 偿 控制 有 很 多 方法 ， 如 把 网 
络 划 分 成 多 个 可 信 的 子 网 等 。 另 外 也 可 以 把 加 密 网 络 设备 ( 如 安全 路 由 器 ) 使 用 到 运行 在 一 
个 不 可 信 的 载体 上 的 网 络 连接 段 中 。 并 且 ， 也 可 考虑 安全 中 间 件 的 使 用 ， 如 OSF/PDCE， 它 假 
定 网 络 是 不 可 信 的 ， 并 提供 很 多 针对 入 侵 者 的 额外 控制 。 将 在 第 16 和 17 章 中 探讨 OSF/DCE 及 
其 安全 机 制 。 最 后 ， 也 可 以 考虑 使 用 商业 访问 控制 方案 来 蔡 代 当前 操作 系统 认证 和 访问 控制 
机 制 。 我 们 将 在 后 续 章 节 中 讨论 这 些 方案 。 
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网 络 操 作 系 统 ， 如 Novell 的 Netware 和 Banyan 的 Vines, 已 经 成 为 很 多 组 织 计算 环境 中 的 一 
个 共同 元 素 。 为 网 络 操作 系统 下 一 个 实际 的 定义 是 非常 困难 的 。 毕 竟 ， 每 种 操作 系统 都 有 一 
定 的 网 络 交互 能 力 。 我 们 要 定义 一 个 网 络 操作 系统 ( NOS )， 并 不 与 今天 它们 的 位 置 有 关 ， 而 
与 它们 的 产生 地 有 关 。 为 了 给 局 域 网 上 的 用 户 提供 资源 共享 和 主要 的 磁盘 和 打印 服务 ， 网 络 
操作 系统 应 运 而 生 。 这 种 计算 的 着 眼 点 是 本 地 工作 组 。 老 的 定义 已 经 不 再 适合 当前 的 情况 。 
现在 ， 焦 点 已 经 从 工作 组 扩展 到 了 企业 范围 ， 并 且 许 多 高 级 功能 也 已 经 添加 到 了 传统 的 NOS 
产品 中 。NOS 和 其 他 具有 连 网 能 力 ( 例如 UNIX 和 Windows NT ) 的 传统 操作 系统 之 间 的 区 别 
正在 迅速 消失 。 | 

本 章 将 讨论 网 络 操 作 系 统 的 使 用 、 优 点 以 及 同 它们 的 使 用 相关 的 安全 问题 。 我 们 不 是 要 
探讨 具体 的 实现 ， 而 是 要 分 析 一 下 所 有 NOS 的 一 些 共 性 。 将 在 以 下 四 个 主流 网 络 操作 系统 的 
基础 上 进行 分 析 : 

。Banyan 的 Vines。 

。IBM 的 LAN Server。 

。 Microsoft 的 LAN Manager。 

。Novell 的 Netware。 

是 在 学 习 它们 的 工作 原理 之 前 ， 首 先 在 总 体 上 看 一 下 网 络 操作 系统 。 
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8.1 网 络 操作 系统 的 功能 


NOS 环 境 能 够 提供 许多 高 级 功能 ， 但 是 它 的 基本 用 途 是 : 

。 人 允许 多 个 用 户 间 的 文件 和 打印 服务 共享 。 

。 人 允许 DOS、Windows 以 及 OS/2 应 用 程序 和 数据 的 共享 。 

。 作 为 “前 端 ” 人 允许 对 信息 的 大 型 数据 存储 进行 快速 和 有 效 的 访问 。 

。 方 便 工作 组 内 的 信息 共享 。 

我 们 将 看 一 下 NOS 一 般 是 如 何 进行 认证 、 授 权 以 及 审计 这 些 安全 功能 的 。 还 要 简单 地 看 
一 下 控制 监视 器 和 集中 式 安全 管理 方案 的 使 用 ， 这 些 产品 增强 了 环境 的 安全 性 和 完整 性 。 最 
后 ， 要 看 一 下 NOS 环 境 所 面 对 的 主要 安全 问题 ， 并 探讨 一 下 将 来 的 开发 。 


8.1.1 认证 


尽管 网 络 操作 系统 可 以 使 用 很 多 种 不 同 的 方法 ， 但 认证 用 户 一 般 都 是 使 用 登录 ID 和 相关 
密码 来 进行 。 用 户 通过 运行 一 个 程序 而 登录 到 LAN 上 ， 该 程序 允许 用 户 提供 一 个 账户 名 【〔 例 
如 登录 ID ) 和 一 个 密码 。 用 户 ID 和 密码 要 由 服务 器 进行 校 验 。 大 多 数 NOS 实 现 都 把 用 户 密码 
以 加 密 的 形式 保存 在 服务 器 上 。 但 很 多 NOS 系 统 在 客户 机 和 服务 器 之 间 的 LAN 上 以 明文 形式 
传递 密码 。 但 有 些 系统 已 经 实现 了 防备 密码 被 发 现 的 认证 机 制 。 
例如 ，Novell 的 Netware 使 用 一 个 单 向 认证 模式 来 认证 用 户 。LOGIN 程 序 要 求 服务 器 生成 
一 个 特殊 的 键 ( 称 做 登录 键 ) 来 代表 登录 的 用 户 。 登录 键 只 能 使 用 一 次 ， 使 用 完 后 它 就 变 成 
无 效 的 。 用 户 输入 他 的 密码 ， 然 后 该 密码 和 登录 键 一 起 用 来 创建 第 二 个 键 。 第 二 个 键 发 送 到 
服务 器 上 。Novell 服 务 器 重复 用 户 刚刚 进行 的 这 一 过 程 ， 并 把 它 生 成 的 键 同 用 户 LOGIN 程 序 
所 发 送 的 键 进行 比较 。 如 果 二 者 匹配 ， 那 么 用 户 就 通过 了 认证 ! 图 8-1 说 明了 这 种 Netware 认 
证 方法 。 


LOGIN Rob 














OK，Rob。 请 使 用 

Rob 输入 密码 ， 你 的 密码 来 加 密 这 
LOGIN 拒 服务 器 < 个 随机 键 
的 键 进行 加 窗 n 
LOGIN 把 新 加 密 如 果 两 个 加 密 过 的 
过 的 字符 申 发 送 。 一直》 键 是 相等 的 ， 那 么 服务 名 人 下 mm 人 

到 服务 器 上 Rob 就 通过 了 认证 

图 8-1 Netware 认 证 


这 个 方法 的 先进 之 处 在 于 密码 在 LAN 上 不 可 能 探查 到 。 并 且 它 也 防止 了 重 放 攻击 ， 因为 
第 一 个 登录 键 是 随机 的 ， 并 且 永 远 不 会 重用 。 并 且 ， 密 码 不 是 被 保存 在 客户 机 上 ， 也 不 是 以 
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明文 的 形式 进行 传输 。 网 络 操作 系统 也 为 密码 策略 的 实施 做 好 了 准备 。 一 般 控制 包括 所 有 的 
用 户 都 要 有 一 个 密码 。NOS 中 也 可 以 实现 密码 时 效 性 一 一 用 户 需 要 定期 改变 他 们 的 密码 。 有 
些 NOS 实 现 ， 如 LAN Manager， 人 允许 管理 员 为 密码 设置 一 个 最 小 天 数 ， 在 该 期 间 内 密码 必须 
是 激活 的 ， 并 且 用 户 不 能 重新 设置 他 们 的 密码 。 在 大 多 数 NOS 中 还 有 其 他 的 一 些 同 密码 相关 
的 控制 措施 ， 如 限制 密码 的 最 小 长 度 等 。 密 码 的 重用 可 能 也 是 不 允许 的 ， 其 实现 方法 是 在 
NOS 中 保持 一 个 以 前 使 用 过 的 密码 所 组 成 的 列表 。 用 户 不 能 把 他 们 的 密码 改变 成 该 列表 中 的 
任何 密码 。 该 列表 通常 有 大 小 限制 ， 一 般 设 置 为 保存 最 后 5 个 密码 。 


8.1.2 授权 控制 


网 络 操作 系统 使 用 三 种 不 同 的 方法 来 提供 控制 和 限制 ， 使 用 特权 、 通 过 文件 访问 权限 以 
及 通过 事件 访问 控制 。 特 权 是 指派 给 独立 用 户 的 特殊 级 别 的 权力 。 例 如 ，OPERATOR 权 力 多 
许 用 户 管理 打印 服务 和 执行 备份 。 尽 管 它们 的 名 字 对 于 具体 实现 来 说 各 有 不 同 ， 但 是 可 用 的 
基本 管理 和 支持 功能 对 于 每 种 NOS 来 说 都 是 通用 的 。 表 8-1 列 出 了 这 些 基 本 功能 。 


表 8-1 典型 的 NOS 特 权 


CC 


特权 说 明 
SUPERVISOR 能 够 进行 用 户 管理 、 服 务 器 的 重新 配置 以 及 访问 控制 的 管理 
OPERATOR 管理 打印 服务 和 备份 /恢复 操作 
DELEGATED PRIVILEGES 大 多 数 NOS 实 现 允 许 SUPERVISOR 的 权力 完全 或 者 部 分 委托 给 其 他 用 户 
“(通常 被 委托 给 一 个 独立 的 用 户 ) 
USER 没有 任何 特殊 权限 的 普通 用 户 
GUEST 一 个 普通 用 户 ID ， 由 那些 没有 自己 的 系统 账号 的 个 体 所 使 用 


网 络 操作 系统 通过 使 用 许可 来 授权 用 户 对 文件 和 目录 的 访问 。 许 可 在 用 户 ID 或 者 组 成 员 
的 基础 上 限制 访问 的 用 户 和 类 型 。 表 8-2 列 出 了 典型 的 访问 许可 。 
表 8-2 ”典型 的 NOS 访 问 许可 


许 可 说 ” 明 

READ 能 够 打开 和 读 文 件 ， 列 出 目录 的 内 容 
WRITE 能 够 改变 文件 或 者 目录 的 内 容 

CREATE 能 够 创建 新 文件 或 者 新 目录 

DELETE 能 够 删除 文件 或 者 目录 

EXECUTE 文件 可 以 作为 程序 来 运行 

CHANGE 用 户 可 以 改变 对 象 的 许可 

ARCHIVE 用 户 能 够 创建 对 表 的 特殊 引用 ， 这 称 为 外 键 


网 络 操作 系统 使 用 了 基于 许多 事件 的 附加 访问 控制 。 这 些 控制 包括 

。 在 工作 时 间 之 后 禁止 访问 的 时 间 控 制 。 

。 一 段 时 间 ( 几 个 小 时 ) 后 的 用 户 自 动 注销 。 

。 如 果 连 续 一 段 时 间 不 活跃 ， 那么 注销 用 户 。 

。 如 果 用 户 数 次 〔 通常 三 次 ) 尝试 登录 失败 ， 那 么 禁用 该 用 户 账户 。 

。 限 制 并 发 会 话 (通常 为 一 次 )。 

有 些 厂商 提供 了 相对 惟一 的 访问 控制 。 例 如 ，Novell Netware 能 够 要 求 登录 必须 来 自 于 一 


一 
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个 预定 义 的 LAN 地 址 。Banyan Vines 可 以 强制 登录 来 自 一 个 特定 的 操作 系统 ， 如 OS/2 或 者 
DOS/Windows。 

Novell 也 鼓励 第 三 方 使 用 Netware 可 加 载 模 块 (Netware Loadable Modules，NLM ) 来 为 
Netware 环 境 创 建安 全 方案 。NLM 使 得 特殊 权限 可 以 扩展 到 普通 用 户 上 ， 并 且 能 够 用 于 包括 安 
全 在 内 的 很 多 目的 。 例 如 ，LAN 支 持 组 (LAN Support Group ) 的 NetSqueeze+Encryption 
NLM 人 允许 用 户 自动 地 对 敏感 文件 进行 加 密 /解密 。NLM 可 以 通过 密码 来 保护 。 


8.1.3 审计 跟踪 


同 NOS 环 境 中 的 大 多 数 事情 一 样 ， 审 计 跟 踪 也 有 一 个 类 似 的 目的 但 每 个 厂商 的 实现 各 有 
不 同 。 记 录 在 审计 跟踪 中 的 基本 活动 的 类 型 对 于 大 多 数 厂 商 来 说 都 是 共同 的 ， 它 们 包括 : 

。 对 用 户 的 登录 /注销 活动 的 记录 。 

。 对 有 关 资 源 的 许可 的 改变 。 

。 对 用 户 特权 和 状态 的 改变 。 

。 访 问 资源 请 求 ( 包括 登录 请 求 ) 的 成 功 或 者 失败 。 

大 多 数 审 计 跟 踪 都 不 是 默认 启用 的 。 包 括 LAN Manager 在 内 的 一 些 NOS 环 境 允 许 审 计 跟 
踪 限 制 所 创建 的 审计 数据 量 。 访 问 选 择 的 资源 或 者 选择 的 用 户 可 能 被 特殊 记录 下 来 。 并 且 ， 
失败 的 访问 尝试 (通常 是 登录 ) 可 以 进行 审计 以 检查 猜测 尝试 密码 。 

审计 跟踪 的 当前 实现 中 存在 很 多 问题 。 审 计 跟 踪 保 存在 本 地 系统 上 ， 因此 一 个 具有 足够 
特权 的 用 户 能 够 破坏 它们 。 一 个 获得 了 SUPERVISOR 特 权 的 用 户 能 够 删 除 他 们 的 审计 记录 ， 
甚至 破坏 整个 审计 跟踪 。 并 且 ， 审计 跟踪 的 格式 和 结构 对 于 每 个 厂商 来 说 是 不 同 的 。 这 使 得 
统一 集中 式 的 报告 变 得 很 困难 。 如 果 可 用 的 话 ， 会 将 警告 发 送 到 系统 控制 台 上 ， 但 网 络 管理 
员 可 能 不 会 定期 的 访问 控制 台 ， 所 以 他 们 可 能 会 过 一 段 时 间 才 看 到 警告 一 一 如 果 该 警告 还 没 
有 被 后 续 的 消息 所 覆盖 。 


8.1.4 NOS 安 全 方案 


很 多 厂商 提供 了 可 用 的 第 三 方 方 案 以 提高 NOS 环 境 的 整体 安全 性 。 这 些 方案 提供 了 控制 
监视 和 集中 式 安 全 管理 功能 。 控制 监视 器 是 一 种 特殊 的 安全 工具 ， 它 能 够 检查 NOS 安 全 结构 
中 的 脆弱 点 。 一 般 的 检查 包括 脆弱 的 或 者 不 存在 的 密码 、 不 活跃 的 账户 以 及 过 多 的 用 户 访问 
权限 。 ， 
例如 ，Frye Utilities 是 一 个 Netware 的 工具 ， 它 能 够 在 登录 时 进行 很 多 检查 ， 其 中 包括 不 
存在 的 密码 和 不 符合 标准 的 密码 等 。 如 果 一 个 账户 在 预定 义 的 天 数 之 内 没有 被 访问 ， 或 者 当 
用 户 赋予 SUPERVISORY 特 权 的 时 候 ， 该 工具 就 会 进行 

一 上 广 商 也 开发 了 很 多 提供 增强 的 访问 控制 和 审计 功能 的 方案 。 例如 ，Centel Federal 
System 公 司 的 Net/Assure 产 品 提供 了 系统 访问 控制 、 加 密 、 数据 访问 以 及 系统 集成 服务 以 补充 
固有 的 Novell 安 全 性 控制 o 


8.2 有 关 NOS 实 现 的 问题 


下 面 看 一 下 有 关 使 用 网 络 操作 系统 的 一 些 问题 。 根 据 可 能 发 生 的 攻击 类 型 ， 这 些 问题 大 
致 可 以 分 为 几 类 。 首 先 ， 讨 论 一 下 对 一 个 NOS 服 务 器 进行 限制 访问 的 问题 。 
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8.2.1 物理 访问 


大 多 数 计算 机 ， 包 括 NOS 服 务 器 在 内 ， 都 可 以 使 用 对 其 系统 控制 台 的 物理 访问 来 破坏 。 
即使 使 用 了 密码 来 保护 系统 控制 台 ， 系 统 也 可 以 使 用 一 个 特殊 格式 化 的 软盘 来 重启 。 一 旦 系 
统 重启 了 ， 那 么 使 用 一 个 普通 的 诊断 工具 (如 Norton Utilities ) 就 可 以 很 容易 地 泄漏 服务 器 的 
安全 信息 。 因 此 ， 使 用 上 锁 的 工具 来 保护 服务 器 是 非常 重要 的 。 通 过 实现 DOS 或 者 OS/2 访 问 
控制 方案 (在 软件 中 或 者 通过 硬件 )， 系 统 可 以 获得 附加 的 安全 性 。 有 些 管理 员 把 服务 器 上 的 
螺丝 印 掉 以 防止 服务 器 被 破坏 。 最 终 这 会 使 得 硬件 维护 变 得 非常 有 趣 。 


8.2.2 特洛伊 木马 


在 PC 客户 机 上 进行 攻击 是 NOS 环 境 中 最 常见 的 攻击 形式 之 一 。 通 过 插入 一 个 伪造 的 登录 
程序 或 者 使 用 一 个 终结 并 常 驻 ( Terminate and Stay Resident，TSR ) 程序 来 捕获 击 键 ， 就 可 以 
捕获 密码 并 在 以 后 重用 。 如 果 PC 客 户 机 上 没有 实现 健壮 的 访问 控制 ， 那 么 这 些 方法 是 很 难 发 
现 并 阻止 的 。 现 在 有 很 多 个 人 计算 机 访问 控制 解决 方案 ， 如 PC Dynamics 公 司 的 Menu Works 
产品 和 Mergent International 公 司 的 PC-DACS。 这 两 种 产品 都 提供 了 用 户 ID 和 密码 控制 功能 ， 
并 且 能 够 限制 对 文件 和 目录 的 访问 。 


8.2.3 LOGIN 脚 本 


有 些 命令 或 程序 能 够 自动 地 把 用 户 连接 到 网 络 上 ， 它 们 也 带 来 了 潜在 的 脆弱 性 。 通 过 访 
问 这 些 脚本 ， 黑 客 能 够 捕获 密码 ， 甚 至 有 时 候 能 够 完全 绕 过 安全 机 制 。 一 本 流行 的 计算 机 杂 
志 曾 经 介绍 过 这 么 一 个 程序 ， 通 过 该 程序 ， 黑 客 能 够 绕 过 Novell LOGIN 程 序 。 该 程序 的 实现 
方法 是 糊弄 服务 器 以 使 其 认为 当前 用 户 已 经 通过 了 认证 。 


8.2.4 密码 攻击 


通过 猜测 密码 来 进行 攻击 可 以 得 到 对 NOS 服 务 器 的 未 经 授权 的 访问 。 有 一 种 程序 能 够 党 
试 使 用 一 个 字典 中 的 每 个 单词 作为 账号 密码 进行 登录 ， 黑 客 可 以 使 用 这 种 程序 来 进行 攻击 。 
这 种 攻击 类 型 的 一 个 变种 是 尝试 获得 对 没有 密码 的 账号 的 访问 权 。 防止 这 类 攻击 的 最 普通 的 
方法 是 在 一 个 审计 有 跟踪 中 捕获 失败 的 登录 并 向 系统 管理 员 发 送 警 报 。 


8.2.5 管理 的 一 致 性 


NOS 的 管理 最 容易 产生 问题 。 尽管 有 些 网 络 管理 员 知识 渊博 并 且 忠 于 职守 ， 但 是 许多 组 
织 内 的 NOS 管 理 仍然 缺乏 一 致 性 。 很 多 LAN 管 理 员 都 未 经 培训 ， 或 者 经 验 尚 浅 ， 这 使 得 系统 
的 安全 控制 变 得 很 脆弱 。 控 制 的 不 一 致 应 用 常常 导致 抱怨 ， 例如 默认 Supervisor 密 码 的 使 用 ， 
或 者 在 用 户 离 开 组 织 以 后 其 账号 仍然 可 用 。 

一 些 最 新 的 “企业 级 ”NOS 发 布 版 本 为 此 问题 提供 了 解决 方案 。 例 如 Netware 4. 1 有 许多 
用 于 企业 计算 的 高 级 功能 ， 其 中 包括 Netware 目 录 服 务 ( Netware Directory Service, NDS )、 
时 间 同 步 服务 (Time Synchronization Service，TSS ) 以 及 中 心 管理 工具 ( NWADMIN )。 
Banyan Vines 早 已 提供 了 服务 复制 以 及 集中 式 目 录 服 务 。 

可 用 目录 服务 来 实行 命名 和 目录 标准 ， 而 TSS 则 给 出 了 时 间 的 一 个 公共 定义 。 集 中 式 管 理 
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功能 使 得 标准 和 策略 具有 更 大 的 一 致 性 ， 这 是 因为 只 有 少数 管理 员 需 要 负责 他 们 的 实现 。 策 
略 和 标准 可 以 实施 在 整个 域内 的 网 络 服务 器 上 ， 而 不 是 每 台 服 务 器 都 有 自己 的 一 套 。 


8.2.6 GUEST 账号 


GUEST 账号 通常 用 来 为 临时 员工 或 者 临时 用 户 授予 NOS 资 源 的 访问 权 。GUEST 账 号 允许 
那些 在 服务 器 上 没有 一 个 独立 账号 的 用 户 访问 服务 器 上 有 限 数量 的 资源 。 它 允许 用 户 对 服务 
器 进行 临时 的 访问 而 不 必 惊 动 服务 器 管理 员 。 实 现 GUEST 账 号 有 很 多 不 同 的 方法 。 例 如 
Netware 支 持 GUEST 账 号 的 使 用 。LAN Manager 使 用 一 个 PUBLIC 共 享 来 实现 ， 人 允许 任何 人 可 
以 对 一 个 指定 的 目录 和 子 目 录 进行 访问 。 | 

许多 问题 都 同 GUEST 账 号 的 使 用 有 关 。GUEST 账 号 可 以 说 是 非法 或 者 不 正确 内 容 ( 例如 
盗版 软件 或 者 色情 内 容 ) 的 包容 所 。 许 多 GUEST 账 号 没有 与 其 相关 的 密码 ， 这 使 得 它们 很 容 
易 滥用 。 

大 多 数 用 户 并 不 知道 ， 把 一 个 对 象 放 在 GUEST 账号 中 会 使 得 该 对 象 能 够 被 所 有 的 网 络 用 
户 所 访问 ， 而 不 仅仅 是 他 们 所 预期 的 接收 用 户 。 许 多 组 织 允 许 合约 人 员 和 顾问 访问 组 织 的 内 
部 LAN。 放 在 一 个 PUBLIC 目 录 下 的 信息 经 常会 不 经 意 地 被 非 雇员 看 见 或 利用 ， 这 是 一 个 经 常 
听 到 的 抱怨 。 


8.2.7 病毒 防护 


服务 器 上 的 病毒 防护 工作 应 该 比 个 人 计算 机 上 的 更 加 重要 。 不 幸 的 是 ， 我 们 发 现 很 多 组 
织 为 个 人 计算 机 上 的 软件 投 以 巨 资 ,但 却 没有 考虑 到 服务 器 。 服 务 器 上 的 病毒 应 该 严肃 对 待 ， 
这 是 因为 访问 服务 器 的 用 户 要 比 访问 一 台 个 人 计算 机 的 用 户 多 得 多 。 这 使 得 服务 器 染 上 病毒 
的 可 能 性 也 比 个 人 计算 机 大 得 多 ， 原 因 就 是 服务 器 要 被 大 量 的 人 访问 。 服 务 器 是 病毒 扩散 的 
中 心 点 ， 通 过 服务 器 ， 病 毒 能 够 感染 许多 用 户 。 服 务 器 感染 病毒 所 带 来 的 工作 损失 和 中 断 要 
比 一 台 工 作 站 大 得 多 。 连 接 服务 器 的 所 有 用 户 都 应 该 检查 自己 工作 站 上 的 病毒 情况 。 

对 于 个 人 计算 机 的 所 有 用 户 来 说 ， 病 毒 防护 软件 的 使 用 是 一 个 必要 的 预防 措施 。 对 于 服 
务 器 来 说 ， 这 同样 正确 。 在 服务 器 上 使 用 病毒 防护 软件 有 一 些 需要 考虑 的 地 方 。 并 不 是 所 有 
的 病毒 防护 软件 生 厂 商都 为 他 们 的 产品 提供 服务 器 版 本 。 病 毒 防护 软件 应 该 能 够 检查 到 潜伏 
病毒 的 存在 。 例 如 ， 压 缩 文件 也 应 该 进行 病毒 检查 。 病 毒 软件 应 该 能 够 向 网 络 管理 员 发 送 警 
报 。 当 从 软驱 上 启动 服务 器 的 时 候 ， 病 毒 防护 软件 应 该 激活 。 

所 有 的 病毒 都 要 执行 用 于 传染 的 代码 。 有 个 简单 办 法 能 够 降低 病毒 在 服务 器 上 发 作 的 可 
能 性 ， 禁 止 用 户 在 所 有 那些 包含 可 执行 程序 的 目录 上 拥有 写 特权 。 当 然 ， 通 过 一 个 登录 脚本 
来 在 客户 机 上 运行 病毒 防护 软件 也 是 个 好 方法 。 另 外 ， 对 其 他 用 户 目录 下 的 文件 的 执行 许可 
也 应 该 受到 限制 。 最 后 ， 不 要 忘记 定期 更 新 病毒 防护 软件 ! 


8.2.8 工作 组 计算 


使 用 个 人 计算 机 的 一 大 优势 是 能 够 提高 开发 文档 和 共享 工作 处 理 的 效率 。 然 而 ， 如 果 你 
是 团队 的 一 部 分 ， 并 且 必 须要 同 团队 协调 进度 ， 那 么 这 种 效率 会 消失 。“ 谁 有 那 份 报告 的 最 新 
拷贝 ? ”、“ 哪 个 是 当前 的 电子 表格 ? ”一 一 如 果 组 织 里 使 用 了 大 量 的 软盘 ， 那 么 前 面 的 问题 
可 能 会 不 绝 于 耳 。 已 经 提出 了 针对 该 问题 的 软件 方案 ， 它 能 够 让 这 种 混乱 走向 有 序 ， 并 使 得 
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”一 组 个 体能 够 一 起 工作 。 这 类 软件 称 做 群 件 。 例 如 ， 有 些 人 认为 电子 邮件 是 群 件 的 一 种 实现 。 
群 件 指 的 是 允许 一 组 人 一 一 通常 具有 一 个 共同 的 业务 关系 ， 并 且 可 能 分 布 在 多 个 地 点 
一 一 能 够 使 用 共享 资源 像 一 个 团队 一 样 工作 的 一 类 计算 机 软件 。 这 些 解 决 方案 能 够 赛 括 很 多 
业务 行为 ， 其 中 包括 电子 邮件 、 时 间 管 理 和 计划 、 数 据 管 理 以 及 文档 开发 和 管理 。 群 件 服务 
的 集成 度 越 高 、 所 能 涵盖 的 范围 越 广 ， 群 件 的 工作 效率 就 越 高 。 
群 件 实现 也 提供 了 相当 健壮 的 安全 控制 ， 这 包括 公开 密 钥 加 密 的 使 用 。 在 后 面 ， 将 更 加 
详细 地 探讨 有 关 群 件 的 知识 ， 并 对 Lotus Notes 进 行 特别 研究 。 


8.2.9 将 来 的 开发 


许多 NOS 厂 商 使 用 了 ， 或 者 有 计划 结合 了 TCP/IP 网 络 协议 。 尽 管 使 用 TCP/IP 协 议 能 够 带 
来 同 外 部 世界 更 方便 的 通信 能 力 ， 但 是 它 也 会 增加 NOS 控 制 的 暴露 程度 和 测试 工作 ， 并 且 提 
高 NOS 的 不 安全 性 。 

有 些 厂商 正在 把 开放 软件 基金 会 (Open Software Foundation ) 的 分 布 式 计算 环境 
( Distributed Computing Environment，DCE ) 结合 进 他 们 的 产品 中 ， 这 是 一 项 积极 的 开发 工作 。 
例如 ，Nevell 已 宣布 支持 OSF/DCE， 这 使 得 包括 0S/2 和 UNIX 在 内 的 其 他 操作 环境 能 够 同 
Netware 环 境 共 享 认证 服务 。IBM 也 宣布 为 0S/2 LAN Server 支 持 DCE。 


8.3 结论 


网 络 操作 系统 和 开放 式 系统 操作 系统 将 来 应 该 趋向 统一 。 随 着 这 种 统一 ， 新 的 问题 会 产 
生 ， 但 是 这 些 问题 应 该 能 够 通过 更 健全 的 管理 、 访 问 控制 以 及 审计 功能 解决 。 认 证 和 访问 控 
制 解决 方案 已 经 开发 出 来 了 ， 它 允 许 对 两 个 环境 进行 共同 的 安全 管理 。 可 以 预见 的 是 ， 这 种 
工作 还 会 继续 ， 在 未 来 几 年 内 还 会 出 现 更 多 可 用 的 集成 解决 方案 。 

在 下 一 章 中 ， 我们 要 维 续 探 和 网 络 。 要 进 人 客户 机 一 服务 器 的 世界 ， 并 探讨 一 下 把 应 用 
程序 和 服务 结合 在 一 起 的 东西 一 一 中 间 件 。 | 
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在 第 8 章 中 ， 探讨 了 网 络 操作 系统 以 及 它们 为 分 布 式 环境 带 来 的 信任 元 素 。 在 本 章 中 ， 要 
分 析 另 一 种 分 布 式 形式 一 一 客户 机 -服务 器 计算 。 客 户 机 -服务 器 系统 并 不 是 一 个 神秘 的 概念 ， 
但 是 它 的 实现 可 能 非常 神秘 。 我 们 将 尝试 概括 一 下 客户 机 -服务 器 的 组 件 ， 并 对 一 些 有 关 信 任 
的 考虑 事项 进行 分 析 。 有 很 多 不 同 的 方法 和 技术 都 可 用 于 提供 客户 机 -服务 器 计算 。 尽 管 本 章 
不 能 涵盖 所 有 方法 ， 但 掌握 其 概念 并 知道 哪里 有 优势 哪里 是 脆弱 性 所 在 很 重要 。 

为 了 能 够 应 用 适当 的 安全 机 制 ， 高 级 客户 机 -服务 器 系统 涉及 到 了 很 多 概念 和 构建 部 件 。 
掌握 这 些 概 念 和 部 件 是 非常 重要 的 。 在 第 1 章 中 ， 我 们 讨论 了 几 种 不 同 的 分 布 式 处 理 模型 。 本 
章 将 着 眼 于 客户 机 -服务 器 及 其 协作 处 理 模型 。 记 住 ， 这 些 方法 包括 了 在 客户 机 和 服务 器 上 某 
种 形式 的 应 用 程序 的 逻辑 执行 。 我 们 将 引入 逻辑 工作 单元 ( Logical Unit of Work，LUW ) 作 
为 一 种 描述 如 何 定义 和 划分 需要 进行 的 工作 的 方式 。 我 们 还 要 介绍 一 下 用 于 保持 数据 库 更 新 
完整 性 的 两 阶段 提交 过 程 。 当 数据 库 能 够 被 多 个 用 户 更 新 的 时 候 ， 一 个 两 阶段 提交 是 非常 重 
要 的 。 中 间 件 是 提供 服务 以 使 得 分 布 和 管理 系统 工作 能 够 更 加 容易 的 软件 。 我 们 将 介绍 一 些 
中 间 件 方法 和 技术 。 最 后 ， 探 讨 一 些 有 助 于 分 布 工作 的 可 用 技术 。 

现在 ， 客 户 机 -服务 器 计算 被 认为 是 把 系统 结合 在 一 起 的 标准 方法 。 随 着 个 人 计算 机 的 使 
用 、LAN 的 实现 以 及 网 络 操作 系统 的 完善 ， 这 种 方法 开始 得 到 大 量 关注 。 客 户 机 -服务 器 计算 
的 增长 似乎 是 由 计算 领域 的 两 个 目标 演变 而 来 。 一 方面 的 推动 力 是 PC 日 益 增长 的 处 理 能 力 和 
以 一 种 受 控 方式 来 共享 PC 生成 数据 的 需要 ; 另 一 方面 的 推动 力 来 自 于 对 利用 PC 相对 廉价 的 处 
理 能 力 而 同时 限制 昂贵 的 集中 式 处 理 的 成 本 的 需要 。 在 这 两 种 情况 下 ， 我 们 都 需要 管理 数据 
并 利用 方便 的 计算 能 力 。 
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当 一 些 使 用 大 型 机 计算 的 组 织 开 始 使 用 PC 的 时 候 , 下 面 这 一 点 迅速 成 为 很 明显 的 事实 ， 
一 个 计算 系统 的 大 多 数 输出 成 为 另 一 个 系统 的 输入 。 大 量 的 数据 重新 输入 到 一 些 电 子 表格 
程序 中 ， 这 些 程序 降低 了 由 一 个 基于 大 型 机 的 系统 所 生成 的 文档 报告 的 数量 。 通 过 把 文件 
从 大 型 机 上 拷贝 到 PC 上 ， 这 种 麻烦 得 到 了 改进 。 然 而 ， 虽 然 这 种 方式 避免 了 数据 的 重新 输 
人 ,但 是 它 仍 旧 需 要 PC 上 有 一 些 有 用 的 操作 。 更 好 的 做 法 是 让 PC 程序 同 大 型 机 系统 直接 
对 接 ， 并 能 够 在 需要 的 时 候 得 到 当前 数据 。 然 而 这 种 集成 常常 需要 进行 编程 以 得 到 并 转换 
数据 。 

系统 的 组 件 

当 我 们 仔细 研究 一 个 计算 机 系统 的 时 候 ， 会 发 现 它 可 以 分 成 几 个 简单 的 组 件 。 第 一 个 重 
要 部 分 是 数据 或 者 信息 。 关 于 数据 和 信息 的 定义 ， 人 们 一 直 有 和 争论。 根据 这 本 书 的 目的 ,我 
们 把 数据 看 做 在 计算 机 系统 中 操作 和 存储 的 具体 内 容 ， 而 把 信息 看 做 是 有 意义 的 数据 表示 。 
一 般 来 说 ， 当 使 用 一 个 计算 机 系统 的 时 候 ， 不 是 查看 信息 ， 就 是 把 数据 变换 成 你 能 查看 的 新 
形式 的 信息 。 关 于 数据 ， 需 要 知道 的 一 个 关键 问题 是 它 在 哪里 以 及 谁 需要 处 理 它 。 

可 用 的 以 计算 机 可 读 格 式 存在 的 数据 越 多 ， 生 成 的 信息 就 越 多 ， 这 样 就 可 以 做 出 更 好 且 
更 及 时 的 决定 。 用 户 方便 访问 的 处 理 能 力 越 强大 ， 访 问 和 分 析 数 据 的 能 力也 就 越 强 大 。 然 而 ， 
如 果 这 些 过 程 包括 多 个 位 置 数 据 的 修改 ， 这 种 访问 也 会 为 维护 数据 的 完整 性 带 来 大 量 的 困难 。 
我 们 需要 复杂 的 软件 来 帮助 管理 访问 并 维护 数据 的 完整 性 。 也 需要 能 够 跟踪 谁 正在 访问 和 改 
变数 据 ， 从 而 保证 他 们 确实 是 他 们 所 说 的 人 并 且 已 经 授权 那么 做 了 。 


9.1 客户 机 -服务 器 


客户 机 -服务 器 的 定义 多 种 多 样 ， 这 要 取决 于 所 涉及 到 的 具体 问题 或 者 具体 软件 厂商 所 提 
供 的 产品 。 它 描述 为 跨越 多 个 平台 的 分 布 式 智能 的 一 个 紧密 的 纲领 性 的 结合 。 当 你 使 用 PC 机 
同 网 络 上 的 应 用 进行 通信 的 时 候 ， 就 会 牵扯 到 客户 机 -服务 器 这 个 概念 。 客 户 机 -服务 器 计算 
这 个 术语 通常 用 来 描述 以 下 情况 ，PC 机 支持 图 形 用 户 界面 ， 该 界面 用 来 访问 一 个 连 网 服务 器 
上 的 应 用 程序 。 根 据 本 书 的 目的 ， 我 们 把 客户 机 -服务 器 的 定义 尽 可 能 地 保持 简单 。 


客户 机 是 向 服务 器 请 求 服务 的 进程 。 服 务 器 是 服务 于 客户 机 请 求 的 进程 。 客 户 机 - 服 





务 器 描述 了 把 计算 系统 分 割 成 客户 机 部 分 和 服务 器 部 分 的 方法 。 


1. 逻辑 工作 单元 

分 布 式 计算 系统 中 的 一 个 重要 概念 是 逻辑 工作 单元 ( Logical Unit of Work ) 或 者 LUW。 
逻辑 工作 单元 是 必须 协调 和 执行 以 完成 的 进程 集合 。 如 果 在 协调 进程 的 任何 部 分 中 出 现 了 一 
个 故障， 那么 所 有 的 进程 都 必须 要 回 滚 到 该 逻辑 工作 单元 初始 化 之 前 。LUW 必 须 是 整个 全 部 
完成 ， 或 者 如 果 进 程 不 成 功 的 话 ， 那 么 LUW 必 须 全 部 回 深 就 好 像 根本 没有 进行 似 的 。 一 
LUW 的 完成 通常 标记 做 一 个 同步 点 或 者 一 次 提交 ， 来 表明 所 有 的 数据 都 处 于 一 个 一 致 的 状态 。 

图 9-1 描 述 了 一 个 包含 两 个 独立 逻辑 工作 单元 的 进程 。 读 文件 A 和 B 然 后 更 新 文件 A， 这 一 
动作 看 做 是 一 个 逻辑 工作 单元 ， 而 读 取 并 更 新 文件 C 看 做 另 一 个 逻辑 工作 单元 。 每 个 逻辑 工作 
单元 代表 一 个 任务 的 一 次 完成 和 一 致 状态 数据 的 同步 化 。 我 们 能 够 发 现 不 知道 的 已 经 定义 和 
执行 的 LUW。 所 有 的 LUW 可 以 不 总 是 包括 对 提交 或 者 同步 点 的 需求 。 即 使 是 一 个 因特网 浏览 


ee 
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器 (如 Netscape ) 也 包含 可 以 看 成 是 逻辑 工作 单元 的 程序 逻辑 。 


结束 进程 





图 9-1 逻辑 工作 单元 示例 


2. 两 阶段 提交 

在 分 布 式 系统 中 ， 两 阶段 提交 协议 是 非常 重要 的 数据 库 更 新 (无 论 什么 时 候 )。 当 把 工作 
分 布 到 多 个 进程 上 的 时 候 ， 一 个 需要 解决 的 重要 问题 是 保证 所 有 的 工作 都 成 功 地 完成 ， 或 者 
所 涉及 到 的 数据 都 回 滚 到 一 个 时 刻 就 好 像 工 作 根本 没有 进行 似 的 。 管 理 这 种 需求 的 方法 就 是 
两 阶段 提交 。 如 果 逻 辑 工 作 单 元 分 布 在 两 个 独立 的 进程 上 ， 那 么 两 阶段 提交 就 更 加 重要 。 

图 9-2 说 明了 两 阶段 提交 过 程 。 当 进程 A 请 求 数据 库 更 新 的 时 候 ， 会 发 送 通知 到 进程 B〈 数 
据 的 管理 者 )， 接 着 B 准 备 更 新 。 如 果 进 程 A 收 到 进程 B 的 许可 确认 ， 那 么 A 就 会 发 送 提 交 请 求 。 
一 旦 进程 B 使 用 提交 的 消息 来 确认 ， 那 么 逻辑 工作 单元 就 完成 了 。 如 果 进 程 A 或 者 进程 B 不 能 
完成 它 的 逻辑 工作 单元 ， 那 么 更 新 过 程 就 放弃 了 。 当 一 个 逻辑 工作 单元 的 成 功 分 到 几 个 进程 
上 时 ， 两 阶段 提交 协议 是 非常 重要 的 。 

进程 A 进程 B 


请 求 更 新 准 


请 求 提交 


标记 成 已 更 新 过 





图 9-2 两 阶段 提交 


3. 协作 处 理 

在 客户 机 -服务 器 计算 流行 之 前 ， 术 语 “ 协 作 处 理 ” 用 来 描述 一 个 应 用 程序 功能 分 散 到 两 
个 或 多 个 进程 之 上 但 执行 起 来 仍然 好 像 是 一 个 应 用 程序 的 能 力 。 在 客户 机 -服务 器 计算 中 ， 协 
作 处 理 用 来 描述 一 种 能 力 ， 即 把 一 个 逻辑 工作 单元 的 处 理 分 布 到 两 个 或 多 个 进程 上 ， 然后 以 
一 个 及 时 的 和 协作 的 方式 完成 该 工作 单元 。 这 些 进程 通常 在 几 个 处 理 器 上 执行 ， 但 这 并 不 是 
必需 的 。 协 作 处 理 的 一 个 早期 实现 来 自 于 IBM 对 其 应 用 程序 间 通 信 ( Application Program-to- 
Program Communicatioin，APPC ) 工具 的 实现 。 

协作 处 理 的 定义 很 罕 ， 它 取决 于 一 个 逻辑 工作 单元 到 多 个 独立 进程 的 分 布 ， 而 不 是 一 个 
更 简单 的 客户 机 -服务 器 关系 。 要 成 为 一 个 协作 进程 ， 必须 满足 如 下 条 件 : 
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。 执行 一 个 逻辑 工作 单元 必须 要 牵扯 到 多 个 应 用 功能 ( 程序 )。 

。 协 作 进 程 必须 具有 可 编程 的 信息 。 

“ 在 逻辑 工作 单元 的 执行 中 ， 参 与 处 理 器 必须 使 用 该 可 编程 的 信息 。 

协作 组 件 之 间 的 处 理 可 以 是 异步 的 也 可 以 是 同步 的 。 在 逻辑 工作 单元 完成 之 前 ， 协 作 程 
序 之 间 的 控制 方向 可 以 是 主 从 式 的 也 可 以 是 对 等 的 。 在 LUW 的 一 个 提交 点 ， 工 作 必 须 永久 地 
应 用 于 数据 ,或 者 所 有 涉及 到 的 系统 都 回 滚 。 协 作 处 理 是 一 般 客户 机 -服务 器 计算 的 一 种 特殊 
形式 ， 它 需要 应 用 程序 执行 的 紧密 集成 。 


客户 机 -服务 器 的 安全 性 考虑 


在 客户 机 -服务 器 关系 中 ， 最 重要 的 元 素 之 一 是 客户 机 到 服务 器 和 服务 器 到 客户 机 的 相互 
认证 。 客 户 机 必须 向 服务 器 提供 标识 证 明 ， 服 务 器 必须 证 明 客户 机 提供 的 标识 是 正确 的 。 客 
户 机 和 服务 器 之 间 的 通信 和 需要 加 密 以 保证 机 密 性 ， 这 种 能 力 是 任何 标识 和 认证 详情 都 需要 的 ， 
并 且 其 他 机 密 数据 可 能 也 需要 。 客 户 机 -服务 器 关系 可 以 使 用 第 三 方 的 安全 性 ， 如 由 Kerberos 
提供 的 。 这 种 机 制 能 够 提供 客户 机 和 服务 间 的 相互 认证 和 网 络 机 密 性 。Kerberos 的 详细 介绍 
将 在 第 17 章 中 提供 。 在 客户 机 -服务 器 关系 的 双方 ,机 密 数 据 ( 如 加 密 密 钥 ) 的 安全 存储 也 是 
需要 的 。 在 客户 机 -服务 器 关系 中 实现 健壮 的 审计 功能 也 是 一 项 重要 的 需求 。 


9.2 中 间 件 


对 于 有 些 电脑 术语 ， 你 可 能 整 天 听 到 但 却 不 能 准确 地 说 出 它 的 意思 。 中 间 件 就 是 其 中 之 
一 。 在 一 个 单词 后 面 加 上 “ware” 似 乎 就 能 说 明 一 种 新 类 型 的 产品 ， 这 是 一 个 少 有 人 知 的 语 
言 规则 。 当 要 执行 使 用 两 个 或 多 个 计算 机 的 程序 一 一 但 你 却 不 想 了 解 这 些 机 器 的 时 候 ， 中 间 
件 就 可 以 大 显 神威 。 有 时 候 ， 中 间 件 指 的 是 能 够 把 分 布 在 不 同 地 点 的 应 用 程序 和 数据 结合 在 
一 起 的 神奇 粘 合 剂 。 实 际 上 ， 中 间 件 是 一 些 软 件 服务 的 集合 ， 这 些 软 件 服务 能 够 提供 了 一 个 
容易 的 方式 来 实现 客户 机 -服务 器 应 用 程序 ， 从 而 使 得 用 户 不 用 亲自 对 所 需 的 全 部 分 布 式 服务 
进行 编码 。 当 使 用 了 多 种 不 同 的 平台 时 ， 中 间 件 能 够 提供 一 个 公共 的 接口 和 服务 范围 。 高 级 
中 间 件 能 够 提供 服务 以 防止 应 用 程序 知道 其 他 应 用 程序 或 数据 具体 位 于 何 处 。 后 面 将 详细 讨 
论 这 些 内 容 。 


中 间 件 是 一 个 软件 层 ， 它 提供 了 应 用 程序 、 数 据 和 操作 系统 之 间 的 一 个 公共 接口 和 


转化 。 





9.2.1 需要 中 间 件 吗 


对 这 个 问题 的 简单 答案 是 如 果 没 有 特殊 要 求 的 话 ， 不 需要 。 然 而 ， 如 果 不 使 用 某 种 形式 
的 中 间 件 ， 你 可 能 需要 为 智能 进程 间 的 协调 、 通 信 以 及 恢复 所 需要 的 全 部 服务 亲自 编写 代码 。 
在 出 现 故 障 的 时 候 进 行 恢 复 是 健壮 的 中 间 件 的 最 大 价值 所 在 。 在 分 布 式 系统 中 ， 可 能 出 现 故 
障 的 地 方 有 很 多 。 合 适 的 中 间 件 有 助 于 在 系统 的 某 个 部 分 出 现 故障 的 情况 下 管理 恢复 ， 同 时 
不 给 应 用 程序 添加 额外 的 负担 。 关 于 故障 发 生 时 应 用 程序 对 恢复 过 程 的 知道 程度 ， 以 及 在 恢 
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复 过 程 中 所 涉及 到 的 程度 ， 人 们 在 需求 方面 有 着 争论 。 关 于 ， 中 间 件 的 变化 范围 很 大 ， 从 保 
护 应 用 程序 完全 不 知道 它 的 分 布 情况 到 提供 能 够 用 于 管理 分 布 的 特殊 应 用 接口 和 过 程 。 应 用 
程序 可 能 需要 知道 何 时 故 麻 出 现 。 为 此 ， 中 间 件 应 该 提供 应 用 程序 可 以 调用 的 程序 接口 。 有 
时 候 ， 应 用 程序 需要 知道 它 是 如 何 分 布 的 。 这 种 需求 主要 是 对 使 用 动态 决策 〈 使 用 针对 情况 
的 程序 逻辑 ) 来 控制 程序 执行 的 一 个 功能 。 


9.2.2 中 间 件 服务 


中 间 件 提供 了 几 种 服务 以 使 得 能 够 成 功 地 把 处 理 分 散 到 分 布 式 环境 上 。 下 面 的 列表 给 出 
了 一 些 服务 。 该 列表 并 不 详尽 ， 但 是 它 说 明了 中 间 件 一 般 会 提供 的 服务 类 型 。 有 些 中 间 件 实 
现 包含 了 更 丰富 的 服务 ， 而 有 些 则 只 提供 基本 的 服务 。 
。 目 录 一 一 眼 踪 网 络 资源 ( 如 文件 、 服 务 器 和 应 用 程序 ) 的 位 置 和 特性 。 目 录 是 基于 独立 

于 物理 位 置 的 名 字 之 上 的 ， 这 样 使 得 物理 位 置 可 以 改变 。 
。 安 全 一 一 为 注册 的 系统 和 用 户 提供 授权 、 认 证 和 审计 服务 ， 从 而 保护 网 络 资源 免 遭 未 经 


授权 的 使 用 。 
。 管理 一 一 包括 分 布 式 环境 上 的 问题 、 操 作 、 配 置 、 改 变 和 性 能 管理 服务 。 
。 应 用 编程 接口 ( Application Programming Interface，API ) 一 一 提供 一 个 一 致 的 接口 ， 


通过 该 接口 ， 应 用 程序 能 够 调用 中 间 件 的 服务 。API 可 以 在 许多 不 同 的 平台 上 可 用 ， 从 
而 提供 异 构 分 布 式 环境 上 的 一 致 性 。 
。 时钟 一 用 于 网 络 资源 的 时 间 校 对 ， 从 而 可 以 调度 服务 和 协调 网 络 分 布 式 行为 。 





9.2.3 中 间 件 模型 


有 许多 中 间 件 方法 和 技术 可 用 于 客户 机 同 服务 器 的 交互 。 中 间 件 机 制 一 般 符合 图 9-3 中 概 
括 的 几 种 模型 。 符 合 对 话 模型 的 中 间 件 能 够 为 客户 机 和 服务 器 间 的 简单 通信 提供 方便 性 。 客 
户 机 要 求 服务 器 进行 某 种 操作 ， 然 后 等 待 答复 。 这 种 交互 类 型 同 电话 交谈 类 似 ， 它 可 以 称 做 
请 求 /响应 。 在 一 些 网 络 协议 定义 中 ， 这 也 可 以 称 做 是 面向 连接 的 ， 这 意味 着 为 了 进行 交谈 客 
户 机 和 服务 器 之 间 需 要 一 个 网 络 连接 。 在 这 种 情况 下 ， 应 用 程序 可 以 检查 到 任何 故障 ， 并 估 
计 恢复 所 带 来 的 负担 。 

远程 过 程 调用 模型 提供 了 一 个 能 够 定向 到 网 络 中 任意 服务 器 上 的 程序 回调 机 制 。 图 9-3 说 
明了 RPC 同 对 话 模型 的 类 似 之 处 。 这 种 回调 模型 同 用 来 执行 应 用 程序 的 子 例 程 的 模型 类 似 。 
同样 ， 应 用 程序 能 够 知道 RPC 请 求 的 任何 故障 ， 并 且 需 要 采取 动作 。 这 种 模型 是 同步 的 ， 依 
赖 于 客户 机 和 服务 器 的 协调 执行。 

消息 模型 使 用 消息 队列 来 同 客户 机 和 服务 器 之 间 的 请 求 任务 进行 通信 。 客 户 机 和 服务 器 
会 查看 这 些 消息 队列 中 是 否 有 消息 。 如 果 有 的 话 ， 它 们 还 要 根据 那些 消息 进行 动作 。 消 息 模 、 
型 使 得 实现 消息 驱动 的 处 理 成 为 可 能 ， 从 而 替代 了 过 去 经 常 使 用 的 事务 驱动 的 处 理 。 消 息 驱 
动 模型 对 于 实现 工作 流 处 理 或 者 任何 不 需要 同 其 他 进程 有 持久 关系 的 协调 处 理 来 说 是 非常 有 
用 的 。 该 模型 是 异步 的 ， 客 户 机 和 服务 器 的 执行 互相 并 不 依赖 。 在 有 些 网 络 协议 中 ， 这 可 以 
称 做 无 连接 模型 ， 其 意思 是 客户 机 和 服务 器 之 间 不 需要 一 个 具体 的 连接 。 


-一 -一 一 
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客户 机 服务 器 
对 话 | 
发 送 应 答 
客户 机 远程 过 程 调用 服务 器 


打开 队列 A 

放 消 息 全 取消 息 
打开 队列 B 打开 队列 B 
取消 息 放 消 息 





图 9-3 中 间 件 模型 


9.3 可 用 技术 


中 间 件 提供 了 进程 间 通 信和 执行 能 力 。 实 现 中 间 件 有 很 多 方法 和 方案 。 这 些 技 术 一 般 是 
针对 前 面 讨论 过 的 几 种 中 间 件 模型 之 一 的 。 下 面 将 对 几 个 不 同 的 技术 进行 概括 性 说 明 ， 但 是 
我 们 并 不 准备 列 出 所 有 可 用 的 技术 和 实现 。 这 是 一 个 快速 浏览 小 节 ， 因 此 我 们 强烈 建议 你 使 
用 每 种 技术 进行 一 下 具体 的 开发 。 


9.3.1 应 用 程序 通信 


分 布 式 处 理 环境 的 第 一 个 里 程 碑 是 IBM 的 应 用 程序 间 通 信 (Application Program-to- 
Program Communication，APPC )。APPC 接 口 允许 两 个 应 用 程序 间 的 直接 同步 通信 。APPC 定 
义 了 IBM 的 系统 网 络 体 系 结构 ( System Network Architecture，SNA ) 下 所 需 的 进程 间 通 信 协 
议 。APPC 的 实现 是 使 用 6.2 类 的 SNA 对 等 逻辑 单元 (LU ) 完成 的 。LU 6.2 是 一 个 事实 上 的 标 
准 ， 它 允许 不 同 处 理 节点 上 的 应 用 程序 能 够 建立 一 个 通信 和 会话， 并 在 应 用 程序 之 间 发 送 和 接 
收 对 话 消 息 。 使 用 APPC， 可 以 提供 一 个 完整 的 两 阶段 提交 。 几 个 软件 厂商 已 经 开发 了 LU 6.2 
功能 ， 并 把 它们 包括 在 应 用 程序 和 服务 中 以 提供 这 种 分 布 式 的 互 操作 能 力 。 客 户 机 -服务 器 计 
算 的 一 些 最 早 的 实现 使 用 了 APPC。 


9.3.2 远程 过 程 调用 


使 用 远程 过 程 调用 ( Remote Procedure Call，RPC ) 是 另 一 种 在 分 布 式 环境 中 提供 进程 间 
通信 的 方法 。 通 过 使 用 请 求 服务 器 进行 某 种 操作 的 RPC， 客 户 机 能 够 同一 个 服务 器 进行 交互 。 
客户 机 会 被 挂 起 直至 从 服务 器 收 到 一 个 响应 为 止 。RPC 机 制 常常 用 来 在 一 个 分 布 式 系统 上 提 
供 安全 服务 。 : 
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Sun 公 司 提 供 的 安全 RPC 机 制 提供 了 一 套 系统 调用 ， 这 些 系统 调用 使 用 数据 加 密 标 准 
(Data Encryption Standard，DES ) 加 密 算法 在 LAN 上 传递 机 密 数 据 。 安 全 RPC 使 用 加 密 的 网 
络 信息 服务 (Network Information Services，NIS ) 服务 器 来 存储 用 户 的 密 铀 。 安 全 RPC 的 一 
个 主要 优势 在 于 它 能 够 很 容易 地 同 Sun 的 低级 RPC 进 行 集成 。 这 使 得 现 有 的 基于 公共 ONC 
RPC 的 应 用 程序 能 够 转化 到 一 个 更 安全 的 环境 中 。 

开放 软件 基金 会 (Open Software Foundation，OSE ) 的 分 布 式 计 算 环 境 ( Distributed 
Computing Environment，DCE ) 中 包括 的 RPC 机 制 也 提供 了 一 套用 于 进程 间 通 信 的 调用 。 
DCE 认 证 是 基于 Kerberos 模 型 的 ， 这 是 一 个 来 自 MIT 的 可 信 第 三 方 证 明 许可 模型 。Kerberos 提 
供 了 客户 机 和 服务 器 的 独立 校 验 功能 ， 并 且 能 提供 一 个 更 为 健壮 的 控制 环境 ， 其 原因 在 于 它 
同 分 布 式 文件 系统 ( DFS ) 的 紧密 结合 。 认 证 完成 以 后 ， 就 可 以 提供 对 应 用 程序 访问 的 授权 。 
并 且 ， 分 布 式 文件 系统 以 及 它 的 访问 控制 是 同 RFC 机 制 紧 紧 对 齐 的 。 我 们 将 在 第 16 和 17 章 中 
仔细 探讨 DCE 和 REFC 机 制 的 实现 。 


9.3.3 Socket 


伯克利 进程 间 通信 ( Inter-Process Communication，IPC ) 机 制 ( 也 称 作 socket ) 提供 了 一 
套用 于 进程 间 通 信 的 系统 调用 。 客 户 机 进程 建立 一 个 socket， 并 请 求 到 服务 器 的 连接 。 服 务 带 
在 一 个 预定 义 的 服务 号 〈 称 做 端口 ) 上 监听 请 求 。 一 旦 服务 器 进程 接受 耳 客户 机 请 求 ， 那 么 
客户 机 和 服务 器 上 的 两 个 socket 之 间 就 可 以 进行 全 双 工 通信 。 socket 机 制 在 大 多 数 UNIX 实 现 
中 都 可 用 。socket 为 TCP/IP 网 络 上 的 网 络 应 用 程序 提供 了 当前 的 事实 标准 。 该 机 制 最 适合 于 对 
话 模型 。socket 无 法 提供 全 面 的 认证 和 授权 控制 。 


9.3.4 IBM MQSeries 


IBM 提 供 了 支持 消息 中 间 件 模型 的 技术 。IBM MQSeries 产 品 提供 了 IBM 平 台 和 其 他 平台 
上 的 基于 队列 的 接口 和 管理 服务 。 使 用 MQSeries 技 术 的 应 用 程序 能 够 同 使 用 队列 的 分 布 式 组 
件 进行 交互 。 该 技术 是 由 一 个 消息 队列 接口 (Message Queue Interface，MGQI ) 和 一 个 消息 队 
列 管理 器 (message queue manager，MQM ) 功能 组 成 的 。 MQI 为 应 用 程序 提供 了 接口 ， 并 把 
网 络 连 接 和 协议 向 开发 人 员 屏 项 起 来 。MQM 提 供 了 名 字 和 地 址 解析 、 消 息 路 由 、MQM 资 源 
管理 以 及 同步 点 参与 。 消 息 为 异步 处 理 提供 了 一 种 独特 风格 的 通信 和 能 力 。 队列 机 制 支持 可 
保证 的 消息 传输 、 恢 复 能 力 以 及 同步 点 服务 。 使 用 MQSeries 的 商业 实现 已 经 开发 出 来 以 支持 
工作 流 计算 。 


9.4 分 布 式 对 象 


处 理 的 分 布 化 中 大 量 涉及 到 面向 对 象 系统 。 当 前 ， 分 布 式 对 象 处 理 系统 是 非常 复杂 的 。 
然而 ， 支 持 软件 正在 迅速 发 展 。 分 布 式 对 象 系统 中 的 关键 元 素 之 一 是 实现 一 个 机 制 以 管理 对 
象 的 分 布 化 和 目的 地 。 对 象 之 间 必 须要 维护 一 个 安全 关系 ， 即使 分 布 式 对 象 的 导航 路 经 不 
预测 的 时 候 也 同样 如 此 。 


9.4.1 OMG CORBA 
对 象 管理 组 织 (Object Management Group ，OMG ) 是 一 个 由 100 多 个 厂商 组 成 的 联盟 ， 
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它 做 为 一 个 标准 团体 而 存在 ， 其 目的 是 解决 面向 对 象 技 术 中 的 互 操作 性 和 可 移植 性 问题 。 
OMG 正 在 建立 一 个 用 于 创建 分 布 式 对 象 网 络 的 标准 ， 并 定义 它们 之 间 互 相通 信 的 方式 。 人 允许 
对 象 能 够 互相 通信 的 机 制 是 通过 对 象 请 求 代 理 ( Object Requet Broker，ORB )。ORB 用 来 实 
例 化 对 象 、 提 供 对 象 间 的 通信 和 以 及 代表 对 象 调用 方法 。OMG 开 发 了 一 套 称 做 公共 ORB 体 系 结 
构 (Common ORB Architecture，CORBA ) 的 规范 。 该 规范 定义 了 ORB、 对 象 服务 、 公 共 工 
具 以 及 应 用 程序 对 象 ， 并 且 提 供 了 使 得 客户 机 -服务 器 对 象 能 够 交互 的 接口 定义 语言 
( Interface Definition Language，IDL ) 和 API。CORBA 的 2.0 版 指定 了 不 同 厂商 的 ORB 应 该 如 
何 进 行 互 操作 。 


9.4.2 对 象 请 求 代理 


分 布 式 环境 中 的 对 象 共享 是 通过 使 用 对 象 请 求 代理 来 完成 的 。ORB 提 供 了 连接 服务 以 同 
服务 器 对 象 通信 ， 并 激活 或 者 保存 服务 器 对 象 。 应 用 程序 对 象 组 件 是 具体 于 终端 用 户 应 用 程 
序 的 。 这 可 能 包括 电子 表格 或 者 字 处 理 类 型 的 应 用 程序 。 公 共 工 具 组 件 定义 了 管理 对 象 的 方 
式 。 如 任务 管理 、 系 统管 理 以 及 用 户 界面 之 类 的 组 件 也 在 此 部 分 中 定义 。 对 象 服务 扩展 了 
ORB 的 能 力 。 这 些 扩 展 部 分 包括 命名 、 事 务 和 并 发 控制 之 类 的 功能 。 时 间 和 安全 服务 也 包括 
在 此 部 分 。ORB 提 供 了 建立 对 象 和 客户 机 -服务 器 之 间 关 系 的 中 间 件 。 图 9-4 给 出 了 对 象 管理 
组 织 的 公共 ORB 体 系 结构 使 用 的 ORB 体 系 结构 示例 。 






应 用 程序 对 象 公共 工具 






对 象 请 求 代理 


图 9.4 公共 ORB 体 系 结构 


9.4.3 COMOLE 


公共 对 象 模型 ( Common Object Model，COM ) 是 由 Digital 和 Microsoft 为 支持 对 象 链接 
与 牛人 ( Object Lingking and Embedding，OLE ) 环境 而 开发 的 对 象 请 求 代理 。 对 象 可 以 使 用 
多 种 语言 实现 ， 传 统 语言 和 面向 对 象 语言 都 可 以 。COM 模 型 同 CORBA 类 似 ， 它 也 为 对 象 接 
口 使 用 接口 定义 语言 并 把 对 象 接口 同 其 实现 分 离开 。COM 分 布 式 模型 是 基于 DCE RPC 的 。 在 
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一 个 基于 Windows 的 系统 上 ， 对 象 链接 与 戏 人 技术 集成 了 多 种 应 用 程序 和 数据 类 型 。OLE 支 
持 超过 350 个 的 基于 COM 的 应 用 编程 接口 调用 ， 并 能 够 使 用 专门 为 网 络 实现 提供 的 OLE 工 其 
在 网 络 上 进行 通信 。 分 布 式 对 象 的 COM/OLE 实 现 是 OMG CORBA 模 型 的 竞争 对 手 ， 但 它 是 
DEC 和 Microsoft 所 专 有 的 。 


9.4.4 SOM 和 OpenDoc 


在 分 布 式 对 象 领 域 ，IBM 的 涉 入 是 建立 在 它 的 系统 对 象 模型 ( System Object Model， 
SOM ) 和 OpenDeoc 组 件 软件 体系 结构 的 基础 上 的 。OpenDoc 提 出 了 一 个 复合 文档 规范 ， 它 是 
由 CI Labs 开 发 、 并 在 IBM、Apple、Novell、Oracle 、Taligent 和 其 他 公司 的 指导 之 下 形成 的 。 
复合 文档 可 以 包含 由 许多 元 素 组 成 的 组 件 ， 这 些 元 素 包括 文本 、 图 形 、 图 像 、 声 音 、 动 画 其 
至 电影 。OpenDoc 定 义 了 所 有 这 些 组 件 应 该 如 何 配合 和 交互 以 形成 一 个 完整 文档 。SOM 是 
CORBA 兼 容 对 象 服务 的 [BM 实现 ， 它 提供 了 OpenDoc 组 件 的 本 地 和 远程 互 操作 能 力 。SOM 是 
CORBA 对 象 请 求 代理 的 一 种 实现 。SOM 的 对 应 物 是 COM， 而 OpenDoc 的 对 应 物 是 OLE。 


9.4.5 分 布 式 对 象 的 安全 性 考虑 


分 布 式 对 象 技术 的 使 用 为 安全 问题 提出 了 另外 的 挑战 。 分 布 式 对 象 具 有 在 通常 客户 机 - 服 
务 器 环境 中 所 能 发 现 的 所 有 安全 问题 ， 并 且 还 有 额外 的 独特 问题 。 我 们 需要 处 理 面向 对 象 技 
术 和 传统 方法 之 间 的 区 别 ， 这 是 主要 的 挑战 所 在 。 对 象 间 的 交互 和 关系 同 传统 应 用 程序 和 数 
据 关系 间 的 交互 根本 不 同 。 对 象 自己 不 拥有 一 个 固有 的 用 户 概念 。 由 于 一 个 分 布 式 安全 系统 
的 关键 支柱 是 一 个 认证 的 标识 的 使 用 ， 所 以 对 象 的 这 种 特性 可 能 会 导致 问题 。 需 要 附加 元 素 
来 满足 分 布 式 对 象 中 的 这 种 需求 ， 或 者 需要 一 个 更 高 级 的 信任 ( 这 也 伴随 着 更 高 级 的 风险 )。 

对 象 间 的 关系 可 能 并 不 总 是 明确 定义 的 或 者 非常 容易 理解 的 。 封 装 向 程序 员 或 者 用 户 隐 
藏 了 对 象 实现 的 细节 。 对 象 既 可 以 作为 客户 机 也 可 以 作为 服务 器 ， 这 取决 于 对 象 的 具体 调用 。 
信任 放 在 对 象 中 的 位 置 或 者 为 谁 而 放 并 不 总 是 明确 的 或 者 可 预测 的 。 在 分 布 式 对 象 技术 中 ， 
引 人 新 的 对 象 或 者 改变 过 的 对 象 组 件 可 以 不 需要 向 其 他 组 件 通知 ， 这 固然 是 一 个 优点 ， 但 是 
它 也 会 引入 更 多 的 风险 。 如 果 信 任 机 制 不 能 结 转 并 且 作 为 通过 对 象 的 导航 组 件 执行 ， 那 么 信 
任 必 须 放弃 所 有 对 象 驻 留 其 中 的 执行 环境 中 。 有 可 能 一 满 车 的 人 都 到 达 一 系列 的 安全 检查 点 。 
可 以 考虑 对 整个 汽车 进行 授权 以 允许 其 前 进 ， 或 者 在 汽车 继续 前 行 之 前 应 该 分 别 检查 车 上 的 
每 个 人 。 


9.5 密切 注意 发 展 趋势 


不 幸 的 是 ， 现 在 客户 机 -服务 器 领域 正 处 在 变动 之 中 。 好 消息 是 它 仍旧 在 发 展 ， 并 且 我 们 
能 够 看 到 更 丰富 和 更 容易 的 实现 。 同 时 ， 当 你 决定 如 何 接近 客户 机 -服务 器 和 中 间 件 的 时 候 ， 
应 该 进行 一 些 考虑 。 

在 面向 对 象 系统 的 领域 中 ， 中 间 件 的 前 途 将 继续 光明 。 面 向 对 象 系统 已 经 对 信息 技术 产 
生 了 重大 的 影响 ， 并 和 且 还 会 继续 发 展 。 然 而 ， 标 准 之 争 还 没有 完成 ， 就 像 典 型 的 正确 ( right ) 
和 可 能 ( might ) 之 争 。 有 着 大 量 的 厂商 支持 ，OMG 的 CORBA 规 范 似乎 会 流行 起 来 。 许多 人 
把 这 看 成 是 right ( 正确 ) 标准 一 一 由 许多 不 同 的 厂商 通过 一 个 独立 组 织 ( OMG ) 来 支持 。 
COM 方 案 似乎 是 might( 可 能 ) 标准 ， Microsoft 通 过 它 的 操作 系统 和 其 他 专利 产品 来 促进 它 的 
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发 展 。 其 他 竞争 者 也 正在 进入 这 个 领域 。 惟 一 可 预测 的 就 是 分 布 式 对 象 肯定 是 未 来 系统 开发 
的 一 部 分 。 

安全 RPC 机 制 在 UNIX 市 场 中 的 许多 系统 上 都 可 用 。 对 于 一 个 应 用 程序 来 说 ， 安 全 RPC 能 
提供 足够 的 认证 和 授权 控制 。 但 是 ， 安 全 RPC 并 不 适合 于 把 多 个 应 用 程序 分 布 到 分 布 式 环境 
中 。 安 全 RPC 本 身 并 不 对 多 个 应 用 程序 进行 管理 和 控制 ， 它 的 实施 是 建立 在 用 户 密码 控制 基 
础 上 的 。 相 对 于 安全 RPC，OSF/RPC 的 主要 优势 在 于 它 通 过 一 个 安全 服务 器 和 分 布 式 文件 系 
统 提 供 了 集成 的 授权 和 认证 控制 。 


9.6 小 结 


在 本 章 里 ， 我 们 探讨 了 客户 机 -服务 器 系统 的 一 些 考虑 事项 和 实现 途径 。 有 具体 的 安全 问题 
和 详细 信息 将 在 下 一 章 中 介绍 。 当 比较 几 种 类 型 的 中 间 件 模型 和 基于 这 些 模型 的 技术 时 ， 必 
须要 考虑 到 安全 问题 。 对 标识 、 授 权 、 认 证 以 及 机 密 性 的 需求 不 会 随 着 技术 和 方法 的 改变 而 
改变 。 客 户 机 -服务 器 系统 的 任何 设计 都 应 该 支持 一 个 已 定义 的 安全 体系 结构 以 保证 所 需 的 全 
部 安全 机 制 都 到 位 。 这 是 一 名 老话， 但 是 它 是 真 的 一 一 安全 只 取决 于 最 脆弱 的 链接 。 如 果 你 
有 最 坚固 的 锁 和 最 好 的 门 ， 但 是 房子 的 后 窗 却 开 着 ， 那 么 一 切 都 是 白费 。 
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近 几 年 来 ,采用 开放 式 系 统 的 技术 已 经 成 为 一 股 潮流 。 今 天 ， 大 多 数组 织 对 开放 式 系统 
操作 系统 环境 的 选择 都 是 UNIX， 它 已 经 成 为 工程 工作 站 、 数 据 库 以 及 中 等 规模 计算 的 事实 标 
准 。 在 几 年 前 还 很 少 听 到 过 开放 式 系统 的 许多 组 织 ， 现 在 已 经 成 功 地 部 署 了 基于 这 种 技术 的 
方案 。 由 于 有 了 公共 操作 环境 ， 软 件 厂商 能 够 容易 地 把 它们 的 产品 移植 到 开放 式 系统 上 。 这 
使 得 客户 有 了 更 好 的 选择 和 更 具 竞 争 力 的 价格 。 然 而 ， 在 实现 开放 式 系统 之 前 ， 安 全 和 信任 
的 问题 必须 要 解决 。 . 

我 们 大 多 数 住 在 郊区 ， 那 里 并 非 安 全 之 地 。 犯 罪 的 事 偶 有 发 生 。 我 们 锁 上 了 窗户 和 大 门 ， 
一 条 大 狗 为 我 们 看 门 ， 我 们 相信 它 能 吓 住 坏人 人。 然而， 如 果 你 注意 到 了 你 的 卧室 窗户 后 面 雪 
地 里 的 脚印 ， 你 的 安全 意识 可 能 会 大 大 提高 。 你 会 采取 积极 的 行动 来 检查 人 侵 者 。 雪 地 里 的 
脚印 、 地 毯 上 的 鞋 泥 以 及 门 锁 上 的 刊 痕 都 是 警示 房 主 人 存在 安全 隐患 的 线索 。 

滥用 计算 机 系统 的 人 也 会 在 雪 地 上 留 下 脚印 。 问 题 在 于 ， 普 通 的 网 络 或 者 系统 管理 员 不 
会 查看 后 院 的 雪 地 ， 并 且 即 使 他 们 看 了 的 话 ， 他 们 可 能 也 不 知道 那些 通 往 卧 室 窗 户 的 脚印 意 
味 着 什么 。 


UNIX 系 统 可 以 同 其 他 任何 类 似 操作 系统 一 样 安全 。 然 而 ， 达 到 该 目标 需要 很 高 的 知 


识 和 很 大 的 努力 。 因 此 ， 相 对 于 其 他 技术 来 说 ， 要 更 详细 地 探讨 UNIX 安 全 性 问题 。 
在 UNIX 评 论 中 ， 要 探讨 和 解释 电子 化 的 “ 雪 地 里 的 脚印 "。 将 分 析 该 开放 式 系统 环境 的 
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脆弱 性 和 易 受 攻击 点 。 在 介绍 完 有 关 问 题 的 相关 知识 以 后 ， 将 介绍 并 探讨 解决 方案 。 我 们 的 
一 位 大 型 机 同事 坚持 说 UNIX 是 天 生 不 安全 的 ， 他 戏称 术语 能 够 在 字典 中 找到 “UNIX 安 全 ” 
是 作为 一 个 矛盾 修饰 法 的 例子 。 尽 管 并 不 像 某 些 人 所 想 得 那么 可 怕 ， 但 UNIX 确 实 向 那些 希望 
”在 UNIX 中 增加 信任 的 人 提出 了 很 多 挑战 。 为 了 迎接 这 些 挑战 ， 需 要 掌握 基本 的 UNIX 控 制 。 
也 必须 要 明确 可 能 出 现 的 问题 和 必须 解决 的 基础 问题 。 有 关 可 能 解决 方案 的 讨论 ， 将 在 下 一 
章 继续 进行 。 


10.1 UNIX 安 全 性 名 声 不 好 的 原因 


无 论 何 时 ， 当 介绍 UNIX 安 全 主题 时 ， 我 通常 都 会 以 对 1964 大 众 甲壳 贝 汽车 的 讨论 作为 开 
始 。 我 肯定 没有 机 械 故 障 ， 但 即使 存在 机 械 故 障 那 也 是 可 以 找到 修好 1964 年 制造 的 甲壳 虫 汽 
车 。 所 有 一 切 都 是 可 以 了 解 的 、 容 易 更 换 的 ， 我 甚至 能 够 找到 燃油 泵 ! 拿 一 个 螺丝 起 子 、 一 
条 传输 带 和 一 些 导 线 ， 普 通 的 年 轻 人 就 能 够 让 甲壳 虫 多 跑 几 公 里 。 很 多 人 都 非常 了 解 甲壳 由 
的 基本 机 械 故 障 。 如 果 我 不 能 修理 某 个 毛病 ， 那 么 我 的 一 个 朋友 可 能 行 。 

另 一 方面 ， 当 打开 新 福特 金牛 座 的 引擎 盖 时 ， 我 发 现 它 的 引擎 非常 复杂 ， 根 本 没 法 下 
手 ! 今天 的 燃油 引擎 可 以 比 做 专用 的 操作 系统 ， 如 那些 可 以 在 微型 计算 机 和 大 型 机 环境 中 找 
到 的 系统 。 安 全 机 制 的 内 幕 没 有 详细 地 检查 。 操 作 系统 的 源 代码 严格 控制 在 专用 环境 中 。 但 
最 重要 的 是 ， 在 大 型 机 系统 中 ， 操 作 系统 的 集中 式 特 性 使 得 它 自己 能 够 严格 控制 它 的 资源 。 

很 多 人 都 随 着 UNIX 的 使 用 而 长 大 ， 因 此 他 们 对 UNIX 内 幕 非常 熟悉 。 有 了 公开 的 源 代码 ， 
人 们 能 够 对 系统 的 机 制 进行 修补 ， 并 了 解 它 的 秘密 。 有 些 最 坏 的 UNIX 安 全 破坏 就 是 因为 破坏 
者 掌握 了 其 内 部 机 制 的 知识 。 他 们 可 以 发 现 系统 中 的 缺陷 ， 并 滥用 其 安全 性 。 

然而 实际 上 , UNIX 中 出 现 的 大 多 数 滥用 行为 是 由 于 标准 可 用 控制 的 不 正确 应 用 所 造成 的 。 
知识 是 高 效 安全 应 用 程序 的 关键 ,但 是 它 对 于 UNIX 环 境 来 说 作用 更 重要 。 本 章 和 下 一 章 的 目 
的 是 让 用 户 能 够 对 UNIX 安 全 机 制 有 一 个 基本 了 解 。 我 们 将 “打开 引擎 盖 ， 四 处 拨弄 ， 然 后 看 
看 会 发 生 什么 ”。 


10.2 UNIX 安 全 


UNIX 已 经 间 世 很 长 时 间 了 。 最 初 它 是 在 20 世 纪 60 年 代 末期 作为 一 个 软件 开发 环境 提供 的 ， 
70 年 代 在 学 术 界 变 得 非常 流行 。UNIX 操 作 系 统 的 商业 应 用 在 80 年 代 得 到 飞速 发 展 。 近 几 年 来 ， 
作为 客户 机 -服务 器 技术 中 的 服务 器 组 件 ，UNIX 被 广泛 使 用 。 导 致 UNIX 如 此 流行 的 一 个 原因 
是 它 的 开放 性 ， 这 使 得 针对 UNIX 的 软件 和 硬件 解决 方案 的 大 量 出 现 。UNIX 也 为 操作 数据 库 
应 用 和 快速 开发 应 用 提供 了 一 个 合算 的 平台 。UNIX 流 行 的 最 后 一 个 原因 是 它 具有 强大 的 连 网 
能 力 。UNIX 机 器 能 够 同 其 他 使 用 多 种 协议 和 服务 的 机 器 进行 通信 。 

要 知道 ， 尽 管 UNIX 可 以 使 用 一 个 强大 的 Web 控 制 来 配置 ， 但 是 UNIX 一 般 并 不 默认 安装 
这 些 控制 。 环 境 需 要 系统 管理 员 采 取 有 关 措施 。 另 外 ， 作 为 对 这 些 控制 结果 的 检查 ，UNIX 安 
全 控制 必须 要 进行 仔细 的 分 析 。 与 采用 所 有 进程 集中 式 控制 的 大 型 机 环境 不 同 ， 分 布 式 环境 
中 一 定 不 允许 采用 既 有 的 控制 功能 。 随 着 时 间 的 前 进 ，UNIX 控 制 趋向 “恶化 ， 任 何 安全 分 
析 的 一 个 关键 组 件 必须 是 现 有 。 新 软件 的 添加 可 能 会 导致 控制 的 “恶化 ”， 例 如 ， 控 制 结构 可 
能 会 改变 。 文 件 和 目录 可 以 用 不 严格 的 权限 或 现 有 的 权限 建立 ， 而 这 种 权限 可 能 被 改变 。 
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10.2.1 物理 安全 


对 于 能 够 物理 访问 机 器 的 人 侵 者 ，UNIX 系 统 同 其 他 计算 机 一 样 几乎 没有 提供 什么 保护 措 
施 。UNIX 机 器 允许 在 启动 时 选择 一 个 替代 “引导 ”设备 。 和 人 侵 者 可 以 把 自己 的 磁盘 、 磁 带 或 
者 CD-ROM 连 接 到 一 个 硬件 控制 器 上 。 通 过 操纵 合适 的 引导 程序 加 载 器 ， 入 侵 者 能 够 很 容易 
地 从 他 们 的 设备 上 引导 系统 机 器 ， 并 获得 对 计算 机 的 访问 权 。 

许多 UNIX 系 统 有 一 个 称 做 单 用 户 模式 的 “后 门 ”钥匙 。 单 用 户 模 式 是 进入 UNIX 系 统 进 
行 维护 的 一 个 方法 。UNIX 假 定 任何 知道 该 方法 并 且 有 物理 访问 权 的 人 都 是 一 个 合法 的 系统 管 
理 员 。 从 安全 角度 上 讲 ， 单 用 户 模式 令 人 担心 ， 它 绕 过 了 所 有 的 认证 ， 并 让 用 户 作为 权限 最 
大 的 UNIX 用 户 一 一 超级 用 户 进行 登录 。 不 必 知 道 超级 用 户 密码 ， 只 需 拥 有 对 系统 控制 台 的 物 
理 访问 权 并 知道 如 何 使 用 后 门 钥匙 。 有 些 UNIX 系 统 ， 如 AIX 和 HP-UX 系 列 ， 为 引导 顺序 提供 
了 安全 控制 。 例 如 ，HP-UX 10.0 引 入 了 可 选 的 控制 ， 当 打 断 引导 顺序 时 ， 就 激活 这 些 控制 ， 
并 要 求 用 户 提供 一 个 密码 。 

但 是 对 于 把 信息 存储 在 磁盘 上 的 任何 计算 机 来 说 ， 即 使 解决 了 非法 引导 问题 ， 那 些 能 够 
删除 磁盘 驱动 器 的 人 还 是 能 对 计算 机 进行 攻击 。 与 以 往 不 同 ， 现 在 磁盘 驱动 器 能 够 很 容易 地 
加 载 到 另 一 个 计算 机 上 进行 检查 ， 并 修改 磁盘 上 的 控制 和 数据 。 如 果 修 改 了 驱动 器 上 的 配置 
信息 ， 然 后 再 送 回 驱动 器 ,那么 人 侵 者 就 能 够 得 到 系统 管理 特权 。 如 果 和 人 侵 者 能 够 物理 访问 
系统 ， 那 么 他 们 也 能 够 破坏 备份 介质 ， 从 而 得 到 重要 的 信息 。 只 需 制作 备份 介质 的 一 份 拷贝 ， 
密码 文件 就 能 够 提取 出 来 ， 然 后 使 用 密码 破解 技术 就 能 够 得 到 密码 。 关 于 这 一 技术 ， 我 们 将 
在 后 面 讨论 。 . 


10.2.2 UNIX 认 证 


下 面 要 介绍 UNIX 所 采用 的 用 户 认证 方式 和 UNIX 安 全 的 核心 一 一 /etc/passwd 数 据 库 。 对 
登录 到 UNIX 系 统 上 的 用 户 进行 认证 一 般 都 是 通过 校 验 用 户 的 密码 来 实现 的 。 通常 情况 下 ， 密 
码 以 加 密 的 形式 保存 在 /etc 目 录 下 的 passwd 文 件 中 ， 这 是 一 个 ASCII 文 件 。 当 一 个 用 户 要 登录 
到 UNIX 系 统 上 时 ,他 需要 提供 一 个 账号 名 ( 称 作用 户 名 ) 和 一 个 密码 。 用 户 名 【或 者 账号 ) 
要 同 /etc/passwd 文 件 中 的 值 进行 比较 。 如 果 有 一 项 符合 ， 那么 就 加 密 用 户 提 供 的 密码 ， 然 后 
系统 把 输出 字符 串 同 /etc/passwd 数 据 库 中 的 加 密 密 码 进行 比较 。 如 果 两 个 加 密 值 相等 ， 那 么 
用 户 就 通过 了 认证 。UNIX 使 用 的 加 密 算法 是 DES 加 密 算法 的 一 个 修改 版 本 〈 相对 弱 些 )。 

表 10-1 给 出 了 一 个 /etc/passwd 文 件 的 例子 。 

表 10-1 /etc/passwd 数 据 库 示 例 


账号 名 加 密 后 的 密码 用 户 ID ”组 ID ”其 他 信息 主 目录 登录 程序 


rot 8t6yrgbJJrg2d 0 0 oo / /bin/sh 
bin * - 2 0 ,3 / /bin/sh 
rdempsey dJgrt2743ssdr 204 2 Rob D,.242-3387 /home/rdemps fbinicsh 
gbruce trS6geJPhe34 0 204 Glen B,.242-7825 /home/grbuce fbin/csh 


Jetclpasswd 文 件 中 的 每 个 记录 ( 行 ) 都 是 UNIX 中 的 一 个 账号 。 账号 这 个 术语 在 UNIX 中 
同 用 户 名 可 以 互 换 使 用 。 每 个 记录 中 的 第 一 个 字段 是 用 户 名 ， 这 也 称 做 账号 一 一 称 做 账号 更 
为 准确 ， 这 是 因为 该 字段 并 不 一 定 代 表 一 个 人 。 例 如 ， 账号 bin 和 adm 用 来 管理 有 关系 统管 理 


一 we 
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的 文件 和 目录 。UNIX 使 用 用 户 名 来 查找 其 对 应 的 密码 ， 并 指定 相应 的 用 户 ID。 用 户 名 的 格式 
是 无 关 紧 要 的 ， 这 是 留 给 系统 管理 员 的 。 如 何 起 用 户 名 一 般 有 惯例 ， 如 用 名 字 的 第 一 个 字母 
加 上 姓 的 前 七 个 字母 组 成 。 需 要 注意 的 是 ， 登 录 后 ，UNIX 根 本 不 关心 用 户 名 ， 真 正 起 作用 的 
是 用 户 ID 号 。 

/etc/passwd 文 件 中 的 第 二 个 字段 是 账号 密码 。 默 认 情 况 下 ， 密 码 字 段 以 加 密 的 格式 能 够 被 
任何 用 户 看 到 。 如 果 密 码 字 段 包 含 一 个 空 值 ( 即 空 )， 那 么 这 表明 没有 与 账号 相关 的 密码 。 所 
有 账号 的 密码 都 应 该 受到 保护 ， 这 是 非常 重要 的 。 如 果 一 个 用 户 能 够 得 到 对 一 个 不 受 保护 账 
号 的 访问 ,那么 控制 系统 就 很 容易 了 。 攻 击 者 可 以 使 用 这 个 账号 在 网 络 上 的 其 他 系统 上 发 起 
攻击 。 如 果 “*” 出 现在 密码 字段 ,那么 该 账号 就 被 认为 是 无 效 的 ， 并 且 任 何 用 户 都 不 能 使 用 
它 来 登录 系统 。 

密码 时 效 允许 系统 管理 员 强 制 用 户 在 预定 义 的 时 间 间 隔 内 改变 他 们 的 密码 。 密 码 时 效 是 
一 个 标准 的 UNIX 特 性 ， 它 是 建立 在 一 个 前 提 上 的 ， 定 期 改变 密码 能 够 防止 密码 被 发 现 。 密 码 
时 效 的 实现 方法 是 ， 在 加 密 过 的 密码 字符 串 后 面 添加 一 个 “,”， 然 后 再 跟 上 一 个 密码 时 效 字 
符 (表示 密码 有 效 的 周 数 )。 

第 三 个 字 眉 是 同 用 户 名 相关 的 用 户 ID 号 。 访 问 资源 的 能 力 是 建立 在 用 户 人 DD 号 的 基础 上 的 。 
用 户 名 只 是 间接 通过 它 同 用 户 ID 号 的 关系 来 授予 访 癌 权 。 按 照 惯例 ，HP-UX 系 统 上 的 用 户 ID 
起 始 于 200， 然 后 顺序 指定 。 顺 序 没 有 任何 专门 的 意思 ，201 不 一 定 比 226 有 更 大 的 权限 。 此 规 
则 的 一 个 重要 例外 是 超级 用 户 。 超 级 用 户 一 般 指 “root” 的 用 户 名 。 超 级 用 户 是 任何 其 有 效用 
户 ID (详情 在 后 面 ) 为 0 的 用 户 。 在 我 们 的 例子 中 ，gbruce 和 root 都 是 超级 用 户 。 账 号 名 同 此 
没有 任何 关系 ， 决 定 这 些 用 户 是 超级 用 户 的 是 数字 0。 将 在 后 面 详细 介绍 超级 用 户 。 

/etc/passwd 文 件 中 显示 的 第 四 个 字段 是 默认 组 。UNIX 基 于 用 户 的 组 ID 号 来 授予 访问 权限 。 
默认 情况 下 ， 你 被 分 派 到 一 个 其 组 ID 号 在 你 的 /etc/passwd 账 号 项 中 的 组 中 。 在 我 们 的 例子 中 ， 
rdempsey 和 gbruce 都 被 分 派 到 组 ID 为 110 并 且 组 名 是 users 的 组 中 。 同 样 ， 用 来 定义 访问 权限 的 
是 组 ID 号 。 组 名 只 是 间接 通过 它 同 组 ID 号 的 关系 来 定义 访问 权限 。 

/etc/passwd 中 的 第 5 个 字段 称 作 GECOS 字 段 。 该 字段 是 可 选 的 ， 它 用 来 提供 账号 的 信息 。 
该 字段 一 般 推荐 使 用 默认 值 ( 三 个 逗 点 )。GECOS 字 段 中 的 用 户 信息 〈 如 电话 号 码 ) 会 带 来 
安全 问题 。 例 如 ， 人 入侵 者 能 够 使 用 用 户 的 电话 号 码 来 确定 用 户 是 否 在 度假 ， 而 在 相反 情况 下 
不 能 够 检查 他 们 账号 中 的 行为 。 


10.2.3 用 户 的 主 环境 


密码 文件 中 的 第 六 个 和 第 七 个 字段 定义 了 用 户 的 HOME 环境 。 其 中 ， 第 六 个 字段 确定 了 

用 户 的 主 目录 ( 称 作 HOME 目 录 )。HOME 目 录用 来 存放 个 人 文件 、 UNIX 邮 件 以 及 启动 脚本 。 
启动 脚本 是 ASCII 文 本 程序 ( 同 DOS 下 的 .bat 文 件 类 似 )， 当 用 户 登录 时 ,启动 脚本 会 自动 执行 。 
尽管 没有 什么 规定 不 允许 多 个 用 户 共享 一 个 公共 的 HOME 目录 和 启动 脚本 ， 但 是 推荐 做 法 是 
对 每 个 用 户 都 指派 一 个 私有 的 、 安 全 的 HOME 目录 。 如 果 把 未 加 限制 的 访问 权 授 予 用户 的 主 
环境 ， 那么 入 侵 者 能 够 在 该 目录 下 放置 修改 过 的 启动 丢 本 ， 并 改变 文件 访问 权限 、 获 知 密码 
等 等 。 当 用 户 进 行 登录 时 ， 启 动 脚本 .profile、.iogin、 kshrc 和 .cstrc 就 会 自动 执行 。 对 于 其 他 
用 户 来 说 ， 它 们 不 应 该 是 可 读 的 或 者 可 写 的 。 如 果 一 个 人 侵 者 能 够 在 一 个 用 户 的 启动 脚本 中 
输入 命令 ， 那 么 这 些 命令 在 用 户 登录 时 就 会 自动 执行 。 这 使 得 人 侵 者 能 够 提交 命令 就 好 像 他 
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们 是 合法 用 户 似 的 。 

最 后 一 个 字段 定义 了 启动 shell 或 程序 。 该 字段 包含 一 个 程序 名 在 我 们 的 例子 中 是 
/bin/ksh， 这 是 一 个 UNIX 命 令 解释 器 和 编程 语言 )， 登 录 成 功 后 ， 该 程序 会 自动 调用 。 大 多 数 
普通 用 户 被 自动 放 到 一 个 应 用 程序 中 或 者 提供 了 一 个 应 用 程序 选择 菜单 。 


10.2.4 组 控制 


在 用 户 登 录 时 ， 根 据 /etc/passwd 数 据 库 中 的 组 卫 号 ，UNIX 会 把 用 户 分 派 到 一 个 当前 组 中 。 
组 名 和 成 员 是 由 /etc/group 文 件 中 的 相关 项 确定 的 。 表 10-2 说 明了 /etc/group 文 件 的 概貌 。 


表 10-2 /etc/group 数 据 库 示例 





组 名 组 密码 组 ID 组 成 员 





root 0 root 


other 1 root、sys 
bin bin 


users 


关 其 关 关 各 
iD 


20 gbruce、 rdempsey、grants 
21 gbruce、 rdempsey 


同 用 户 ID 号 一 样 ， 资 源 访问 权限 是 在 组 ID 号 的 基础 上 授予 的 。 组 名 只 是 引用 组 ID 号 的 一 
个 便利 方法 。 同 用 户 ID 一 样 ， 真 正 起 作用 的 是 数字 而 不 是 名 字 。 组 可 以 有 与 其 相关 的 密码 ， 
但 是 该 功能 很 少 使 用 ， 通 常 通 过 在 组 密码 字段 中 放置 一 个 “*” 来 禁用 。 在 一 些 UNIX 版 本 上 ， 
用 户 自动 是 它们 指派 的 全 部 组 的 活动 成 员 。 在 其 他 版 本 中 ， 用 户 通常 同时 只 能 是 一 个 组 的 成 
员 。 不 支持 自动 组 成 员 的 UNIX 版 本 可 能 允许 系统 管理 员 来 配置 该 功能 。 这 为 用 户 提供 了 每 个 
组 中 的 活动 成 员 资格 ， 而 不 要 求 用 户 公开 改变 他 们 的 活动 。 

系统 管理 组 中 的 成 员 可 以 让 普通 用 户 访问 某 些 系统 资源 ， 而 正常 情况 下 访问 这 些 资源 需 
要 高 级 特权 ( 如 超级 用 户 特权 )。 系 统 组 ， 如 bin、adm 和 sys， 应 该 具有 成 员 限制 并 永远 不 能 
包括 普通 用 户 。 

在 大 型 机 世界 中 ， 在 组 上 重叠 一 个 部 门 结构 是 非常 常见 的 ， 这 是 因为 多 重组 成 员 是 难以 
实现 的 。 在 UNIX 中 ， 情 况 正好 相反 。 建 立 附加 组 ( 称 做 特殊 兴趣 组 ) 是 相对 容易 的 ， 但 是 如 
果 没 有 足够 的 控制 来 限制 组 增长 ， 管 理工 作 可 能 很 困难 。 组 数目 过 多 会 为 管理 组 成 员 关 系 和 
报告 资源 访问 特权 带 来 额外 的 管理 麻烦 。 一 般 来 说 ， 推 荐 做 法 是 把 特殊 兴趣 组 的 数目 保持 在 
一 个 最 小 值 。 


10.2.5 UNIX 认 证 中 的 跪 弱 性 


/etc/passwd 和 /etc/group 实 现 中 的 第 一 个 脆弱 性 是 这 两 个 文件 都 是 普通 文件 ， 并 由 标准 
UNIX 访 问 控制 保护 以 免 遭 得 改 。 如 果 用 户 能 够 得 到 对 其 中 某 个 文件 的 写 访问 权 ， 那 么 用 户 就 
可 以 修改 文件 内 容 。 使 用 他 们 最 爱 的 编辑 器 ， 能 够 删除 超级 用 户 的 密码 或 者 把 他 们 自己 添加 
到 一 个 特权 组 。 如 果 他 们 能 够 得 到 对 /etc/ 目 录 的 写 访问 权 ， 那 么 他 们 就 可 以 用 他 们 自己 的 密 
码 或 组 数据 库 来 代替 标准 文件 ， 并 且 能 够 提供 他 们 自己 的 密码 文件 。 

加 密 过 的 密码 字符 串 是 可 读 的 ， 这 也 是 一 个 脆弱 性 。 使 用 加 密 过 的 密码 字符 串 来 发 现 密 
码 的 方法 称 做 “破解 密码 ”。 在 后 面 当 介绍 有 关 UNIX 操 作 系统 的 典型 滥用 时 ， 将 探讨 如 何 进 
行 “破解 ”。 
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UNIX 并 不 保持 /etc/passwd 和 /etc/group 数 据 库 的 一 致 性 。 没 有 任何 东西 保证 在 密码 文件 中 
引用 的 组 ID 一 定 存在 于 组 数据 库 中 。 幸 运 的 是 ， 大 多 数 UNIX 系 统 提供 了 标准 工具 来 检查 组 数 
据 库 的 完整 性 。 另 一 个 问题 是 连 网 UNIX 系 统 之 间 的 用 户 和 组 ID 的 同步 。 例 如 ， 如 果 用 户 
gbruce 一 一 在 系统 A 上 的 用 户 ID 是 204 一 一 访问 rdempsey ( 其 用 户 ID 也 是 204 ) 所 拥有 的 一 个 连 
网 资源 ， 那 么 gbruce 能 够 获得 对 该 资源 的 访问 权 。 在 分 布 式 UNIX 环 境 中 ， 用 户 ID、 组 ID 以 及 
其 他 值 的 同步 是 一 个 大 问题 。 将 在 第 16 章 中 探讨 该 问题 及 其 可 能 的 解决 方案 。 

从 前 面 可 知 ，UNIX 是 在 用 户 ID 和 组 ID 的 基础 上 授予 资源 访问 权限 的 。 现 在 我 们 看 一 下 这 
种 授权 方式 在 UNIX 下 是 如 何 工 作 的 。 


10.2.6 资源 访问 控制 


UNIX 系 统 通过 一 个 三 级 许可 访问 控制 模型 来 保护 系统 资源 ， 如 文件 和 硬件 设备 。 每 个 资 
源 由 一 个 用 户 ID ( 称 作 拥有 者 ) 所 拥有 ， 并 且 默 认 分 派 到 拥有 者 的 组 中 。 请 求 访问 资源 的 用 
户 分 为 三 种 : 资源 的 拥有 者 、 资 源 所 属 组 的 组 成 员 以 及 所 有 其 他 用 户 。 资 源 的 拥有 者 关系 可 
以 转移 到 另 一 个 UNIX 账 号 ， 并 且 组 成 员 关系 可 以 重新 分 派 到 另 一 个 组 。 如 果 一 个 用 户 是 资源 
所 属 组 的 一 个 当前 成 员 ， 那 么 该 用 户 对 该 资源 的 访问 是 允许 的 。 

访问 权限 的 类 型 包括 读 、 写 和 执行 ， 它 们 属于 请 求 者 (拥有 者 、 组 成 员 以 及 其 他 用 户 ) 
上 。 根 据 资源 是 文件 还 是 目录 ， 这 三 种 访问 类 型 分 别 具 有 非常 具体 的 意义 ， 如 表 10-3 所 示 。 

如 果 对 文件 有 读 访 问 权 ， 那 么 可 以 打开 该 文件 并 检查 其 内 容 。 如 果 有 写 访问 权 ， 那 么 可 
以 改变 文件 的 内 容 。 执 行 访问 权 允 许 文 件 (可 以 是 ASCII 文 本 也 可 以 是 二 进 制程 序 ) 执行 。 具 
有 执行 权限 的 ASCII 文 本 文件 称 之 为 脚本 程序 ， 它 等 价 于 DOS 下 的 .bat 文 件 。 其 内 容 可 以 包括 
标准 UNIX 命 令 或 程序 。 

表 10-3 文件 和 目录 访问 权限 


-一 


资源 类 型 访问 权限 说 明 
文件 rREAD 能 够 打开 和 读 取 内 容 
w WRITE 能 够 修改 文件 内 容 
x EXECUTE 能 够 做 为 一 个 脚本 程序 运行 文件 
目录 rREAD 能 够 列 出 目录 下 的 文件 名 
w WRITE 能 够 添加 或 删除 文件 
x EXECUTE 能 够 列 出 文件 的 详细 信息 


能 够 cd 到 目录 


一 -一 

对 目录 的 读 访问 权 可 以 列 出 该 目录 下 所 包含 的 文件 和 子 目录 的 名 字 。 对 目录 的 写 访问 权 
可 以 改变 该 目录 的 内 容 、 删 除 文件 以 及 拷贝 新 文件 到 该 目录 下 。 执 行 权限 允许 用 户 得 到 该 目 
录 下 所 包含 的 文件 和 子 目录 的 详细 信息 。 它 也 允许 用 户 移动 到 那个 目录 下 ， 并 把 它 作为 当前 
工作 目录 。 : 

需要 指出 的 是 ， 提 供 安全 性 的 是 文件 和 目录 访问 权限 的 结合 。 没 有 另 一 个 的 存在 ， 只 有 
一 个 是 没有 用 的 。 为 了 防止 某 人 修改 一 个 文件 ， 必 须 限制 那个 人 对 该 文件 和 对 该 文件 之 父 目 
录 的 写 访问 权 。 如 果 他 有 对 目录 的 写 访问 权 ， 那 么 可 以 用 他 自己 的 文件 版 本 来 替换 原始 文件 。， 


10.2.7 授权 中 的 局 限 性 
标准 UNIX 资 源 访 问 权 限 模型 有 很 多 局 限 性 和 脆弱 性 。 它 不 允许 为 独立 组 或 者 用 户 定义 
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不 同 的 访问 权限 。 还 有 ， 访 问 类 型 的 数目 太 受 限制 ( 读 、 写 和 执行 )。 其 他 的 访问 类 型 ， 如 
创建 、 修 改 和 删除 ， 需 要 包括 进来 以 加 强 当 前 的 访问 控制 模型 。 访 问 列表 机 制 也 是 不 够 的 
(拥有 者 、 组 成 员 和 其 他 用 户 )。 它 强制 系统 管理 员 创建 很 多 特殊 兴趣 组 。 当 系统 管理 员 需 
要 为 单个 用 户 定义 访问 权 的 时 候 ， 这 点 尤为 可 怕 。 另 一 个 不 合 需要 的 方面 是 操作 系统 文件 
和 二 进 制 程序 ( 包括 操作 系统 本 身 ) 由 同一 个 访问 权限 模型 来 保护 。 使 用 这 种 体系 结构 ， 
有 太 多 的 目录 和 文件 (一般 情况 下 有 几 百 个 目录 、 几 和 于 个 文件 ) 需要 保护 。 一 种 改进 方式 
是 添加 安全 授权 的 继承 功能 ( 可 选 的 ， 根 据 系统 管理 员 的 判断 )， 即 强制 父 目 录 的 授权 被 子 
资源 所 继承 。 

因为 文件 的 所 有 者 能 够 对 该 文件 进行 任何 操作 ， 所 以 说 UNIX 资 源 许 可 模型 是 任意 的 。 文 
件 访问 权限 可 以 调整 ， 因 此 即使 拥有 者 也 不 能 读 取 它 ; 另外 ， 任 何人 都 可 以 读 取 和 修改 一 个 
文件 。 通 过 把 拥有 关系 改变 成 其 他 用 户 ， 资 源 的 拥有 者 也 可 以 放弃 资源 。 一 旦 放弃 ， 最 初 的 
拥有 者 就 不 能 控制 那个 资源 的 相关 许可 。 在 后 面 将 看 到 用 于 操作 系统 文件 和 目录 的 控制 结构 
中 的 这 种 脆弱 性 很 容易 滥用 。 包 含 系统 二 进 制 数据 、 启 动 脚本 和 数据 的 每 个 目录 和 文件 必须 
要 充分 保护 ， 这 是 非常 重要 的 。 因 为 有 这 么 多 的 目录 和 文件 需要 保护 ， 所 以 手工 扫描 一 个 文 
件 系 统 中 的 问题 是 不 可 能 。 系 统管 理 员 必须 使 用 一 个 自动 工具 来 保证 初始 建立 的 控制 能 继续 
起 作用 和 有 效 。 将 在 第 12 章 和 第 21 章 中 介绍 控制 管理 软件 的 使 用 。 


10.2.8 访问 控制 列表 


对 标准 UNIX 许 可 的 一 个 常见 抱怨 是 它们 不 允许 选择 性 的 访问 。 如 果 一 个 选 定 的 用 户 组 需 
要 访问 ， 并 且 用 户 没有 使 用 - -个 惟一 的 组 来 标识 ， 那 么 必须 要 为 这 些 用 户 创建 一 个 特殊 兴趣 
组 。 但 是 更 重要 的 是 ， 标 准 UNIX 访 问 控制 模型 不 可 以 为 独立 组 或 用 户 单独 定义 访问 权限 。 它 
仅仅 为 一 个 用 户 组 支持 访问 权限 。 除 了 资源 的 拥有 者 以 外 ， 所 有 不 在 该 组 的 用 户 统统 归 类 为 
其 他 用 户 。 

为 了 解决 该 问题 ， 有 些 UNIX 系 统 提供 了 一 种 称 为 访问 控制 列表 ( Access Control List， 
ACL ) 的 资源 安全 机 制 。 通 过 资源 的 拥有 者 为 独立 用 户 或 者 组 设置 访问 权限 ，ACL 比 标准 
UNIX 访 问 权限 提供 了 更 高 程度 的 选择 性 。ACL 包 含 一 组 项 ， 它 关联 到 一 个 文件 以 指定 许可 。 
这 些 项 通过 文件 的 inode 记 录 中 的 指针 来 引用 。 每 个 项 为 一 个 用 户 ID 和 组 ID 结合 体 指定 了 一 套 
读 、 写 和 执行 许可 。 每 个 文件 可 以 允许 多 个 项 ， 并 且 也 允许 通配符 。 用 户 也 可 以 专门 从 文件 
访问 中 排除 出 来 ， 即 使 可 以 访问 他 们 的 组 。 当 一 个 文件 建立 时 ， 标 准 UNIX 许 可 就 自动 映射 到 
ACL 项 。 


10.2.9 ACL 的 问题 


每 个 资源 必须 实现 自己 的 ACL。 这 使 得 ACL 的 管理 变 得 很 复杂 、 很 耗 时 ， 因 为 当 添 加 了 
新 文件 或 目录 的 时 候 ， 没 有 任何 自动 机 制 能 够 更 新 ACL。 控 制 继承 一 一 可 以 把 ACL 值 传递 到 
子 目 录 和 文件 一 一 使 ACL 可 以 在 一 个 逆向 目录 树 的 选 定 级 别 上 实现 。 默 认 情 况 下 ， 所 有 的 新 
子 目 录 和 文件 会 继承 父 ACL。 大 多 数 UNIX 文 件 转移 工具 ， 如 cpio、tar 以 及 shar， 不 能 认 出 
ACL 的 存在 。 使 用 一 个 不 支持 ACL 的 工具 所 转移 的 任何 文件 都 将 丢失 其 ACL 项 。 这 为 系统 管 
理 带 来 新 困难 ，ACL 必 须要 不 断 地 查看 以 保证 仍然 有 效 。 更 糟糕 的 是 ， 备 份 软件 可 能 不 支持 
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ACL 的 使 用 。 如 果 备 份 解决 方案 不 支持 ACL， 那 么 根据 备份 做 的 恢复 会 丢失 当前 的 ACL。 在 
网 络 上 传输 具有 ACL 项 的 文件 能 够 导致 项 的 丢失 。UNIX 厂 商 在 ACL 的 实现 上 不 尽 一 致 。 例如 ， 
列举 ACL 的 命令 在 HP-UX 系 统 上 是 lsacl， 而 在 IBM 的 AIX 系 统 上 则 是 aclget。 


10.2.10 超级 用 户 访问 


在 UNIX 环 境 的 设计 中 ,设计 者 有 这 么 一 个 决定 ， 给 一 类 称 做 超级 用 户 的 用 户 授予 对 系统 
管理 活动 的 绝对 控制 权 。 超 级 用 户 〈 任何 其 用 户 ID 为 0 的 用 户 ) 可 以 访问 本 地 计算 机 上 的 所 有 
系统 管理 和 安全 功能 。 这 里 的 指导 思想 就 是 把 系统 管理 限定 到 一 个 用 户 上 ， 该 用 户 执行 所 有 
的 系统 管理 功能 ， 从 假 脱 机 到 用 户 的 添加 全 都 包括 。 





用 狗 来 保护 家 的 问题 之 一 是 必须 要 信任 这 条 狗 。 你 仍旧 掌管 着 房子 ， 并 且 可 能 相信 
这 条 狗 不 会 伤害 你 ， 但 是 总 是 有 那么 一 点 可 能 性 会 使 这 条 狗 扑 过 来 咬 你 。 你 可 以 把 它 的 
保护 职责 限定 在 地 下 室 中 ， 但 是 你 需要 保证 没有 小 孩 会 打开 地 下 室 的 门 而 让 它 跑 上 来 。 


表 10-1 表 明 用 户 账号 root 和 gbruce 的 用 户 ID 都 是 9。 强烈 推荐 严格 限制 超级 用 户 的 使 用 。 
不 管 资源 上 应 用 了 什么 安全 和 控制 ， 超 级 用 户 一 概 可 以 访问 。 超 级 用 户 可 以 删除 所 有 的 访问 
控制 、 破 坏 安全 策略 ( 如 最 小 密码 长 度 )、 查 看 和 改变 任何 文件 、 读 取 任何 人 的 邮件 以 及 革除 
密码 。 实 际 上 ， 几 乎 没有 什么 行为 是 本 地 超级 用 户 不 能 进行 的 。 超 级 用 户 密码 应 该 限定 在 最 
小 的 范围 。 那 些 委托 了 超级 用 户 密码 的 用 户 不 应 该 把 超级 用 户 访问 权 用 于 常规 行为 ， 如 读 取 
邮件 。 可 以 设置 很 多 陷阱 (后 面 介绍 ) 来 诱骗 粗心 的 超级 用 户 。 如 果 超 级 用 户 谨慎 地 使 用 其 
权力 ， 那 么 他 们 落 人 这 些 陷阱 的 可 能 性 就 小 得 多 。 


10.2.11 权力 的 委托 


使 用 超级 用 户 的 指导 思想 是 为 UNIX 系 统 提供 集中 式 和 单独 的 管理 。 过 去 ， 当 系统 没有 多 
少 用 户 ， 并 且 只 能 完成 有 限 的 功能 时 ， 这 不 是 一 个 重要 的 考虑 。 对 一 个 10 用 户 左右 规模 的 系 
统 来 说 ， 单 系统 管理 员 思 想 还 能 够 胜任 ， 但 是 对 于 更 大 的 系统 来 说 它 就 不 可 行 了 。 我 们 可 能 
希望 某 个 操作 员 进 行 假 脱 机 ， 但 是 我 们 不 希望 他 成 为 一 个 超级 用 户 。 不 幸 的 是 ，UNIX 的 基本 
设计 要 求 只 有 超级 用 户 权力 才能 执行 最 基本 的 系统 管理 任务 。 中 心 问题 是 我 们 如 何 保 证 那些 
授予 超级 用 户 特权 的 用 户 不 会 滥用 其 权力 。 如 果 要 委托 超级 用 户 特权 ， 那 么 必须 要 采取 措施 
来 保证 该 特权 不 会 被 滥用 ， 并 且 不 会 非法 假定 额外 的 超级 用 户 特权 。 

UNIX 人 允许 用 户 使 用 switch user (su ) 命令 来 改变 标识 。 他 们 必须 提供 希望 改变 标识 的 账 
号 ( 即 user ) 的 密码 如 果 有 的 话 。 如 果 改 变 成 功 ， 那 么 UNIX 会 创建 一 个 有 效用 户 ID 
( effective user ID ，EUID )。 有 效 组 成 员 也 可 以 改变 ( 例如 ， 在 HP-UX 中 使 用 newgrp 命 令 )。 
使 用 su 的 问题 在 于 一 旦 用 户 把 标识 改变 到 一 个 新 账号 ， 该 用 户 就 拥有 了 那个 账号 的 全 部 访问 
特权 。 这 不 是 一 种 权利 的 委托 ， 而 是 一 种 权利 的 放弃 。 

UNIX 使 用 一 个 非常 特殊 的 组 来 访问 一 套 特殊 的 系统 调用 ， 它 称 为 特权 组 。 在 后 面 ， 将 介 
绍 如 何 使 用 商业 解决 方案 来 解决 权利 委托 问题 。 


10.3 典型 性 的 滥用 
前 面 介绍 了 UNIX 操 作 环 境 的 基本 安全 结构 。 探讨 了 包括 文件 和 目录 结构 在 内 的 多 种 控制 ， 
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并 介绍 了 它们 是 如 何 保 护 重 要 数据 的 。 在 下 面 ， 我 们 将 提出 一 些 问 题 并 分 析 一 下 其 他 的 问题 
领域 。 

1. guest 账 号 

如 果 不 管 账号 所 给 的 权力 级 别 就 能 得 到 对 任何 账号 的 合法 访问 ， 那 么 UNIX 系 统 就 可 以 很 
容易 地 被 破坏 。 许 多 系统 把 “guest 权 力 ” 扩 大 到 包括 未 经 认证 的 用 户 ， 这 就 无 意 中 为 黑客 的 
访问 打开 了 方便 之 门 。guest 权 力 可 以 扩大 到 包括 没有 密码 的 账号 ， 或 者 具有 如 guest 或 者 
support 之 类 的 明显 密码 的 账号 。 不 安全 的 guest 账 号 为 UNIX 操 作 环境 提供 了 “ 没 上 锁 的 窗户 "。 
不 仅 如 此 ， 因 为 不 能 识别 个 体 用 户 ， 所 以 guest 账 号 还 会 阻止 正常 的 审计 工作 。 

2. 欺骗 

最 早 入 侵 计 算 机 系统 的 方法 之 一 是 使 用 一 个 特洛伊 木马 来 窃取 密码 。 人 侵 者 使 用 另外 一 
个 程序 代替 正常 的 登录 程序 ， 这 两 个 程序 都 执行 登录 功能 并 记录 密码 。 密 码 保存 在 一 个 秘密 
的 位 置 ， 或 者 邮寄 给 入 侵 者 。 欺 骗 (spoof ) 就 是 执行 模仿 合法 程序 行为 的 程序 。 欺 骗 在 本 
地 系统 上 执行 ， 它 是 一 种 特洛伊 木马 攻击 形式 。 葡 骗 和 特洛伊 木马 的 区 别 在 于 : 后 者 是 一 个 
不 活动 的 程序 ， 它 需要 执行 以 完成 它 的 不 正当 功能 ;欺骗 是 不 活动 程序 ， 它 向 用 户 提 供 一 个 
伪造 的 命令 行 或 者 画面 。 欺 骗 的 一 种 常见 形式 是 向 用 户 提供 一 个 伪造 的 登录 画面 。 该 画面 
在 各 方面 看 起 来 都 很 正常 ， 但 实际 上 它 正 在 执行 一 个 欺骗 程序 而 不 是 在 操作 系统 的 控制 之 
下 。 输 入 账号 名 以 后 ， 会 提示 用 户 输入 密码 。 密 码 输入 以 后 ， 就 保存 起 来 或 者 邮寄 给 黑客 。 
然后 欺骗 程序 显示 一 条 错误 消息 ,例如 “无 效 的 登录 ”， 其 意思 是 表明 用 户 输 错 了 密码 。 然 
后 ， 合 法 的 登录 程序 会 初始 化 ， 并 且 再 一 次 提示 用 户 输入 账号 名 。 用 户 的 正常 登录 过 程 会 
接着 进行 ， 然 后 欺骗 程序 从 系统 中 删除 。 用 户 很 自然 地 认为 他 确实 输 错 了 密码 。 如 果 正 确 
进行 的 话 ， 这 类 欺骗 行为 是 很 难 发 现 的 。 散 骗 的 任何 迹象 都 必须 作为 一 个 重大 的 安全 威胁 
来 对 待 。 连 网 的 欺骗 扮 做 一 个 有 效 的 客户 机 或 者 服务 提供 者 的 伪造 程序 。 在 下 一 章 中 ， 将 
深入 讨论 这 些 内 容 。 

3. 密码 猜测 

密码 猜测 是 一 个 很 老 的 学 生 技 术 ， 通过 猜测 一 个 账号 的 密码 来 尝试 登录 系统 。 猜 测 者 输 
入 thor、support 以 及 dilbert 之 类 的 字符 串 做 为 密码 ， 希望 能 磁 碰 运气 。 短 时 间 内 的 大 量 登 录 失 
败 可 能 意味 着 一 个 “ 雪 地 里 的 脚印 "。 尽 管 这 有 可 能 是 一 个 玫 脚 的 打字 员 在 作怪 ， 但 是 它 有 可 
能 表明 有 人 在 尝试 猜测 密码 。UNIX 并 不 在 连续 数 次 无 效 登录 后 就 禁用 账号 ， 那 不 是 它 的 标准 
功能 。 然 而 ， 系 统管 理 员 可 以 把 无 效 登 录 尝 试 记录 到 /etc/btmp 日 志文 件 中 。 

可 以 很 容易 地 开发 软件 以 监视 该 文件 ， 并 在 某 个 给 定 账 号 发 生 密 码 猜测 的 时 候 通 知 系 统 
管理 员 。 有 些 管理 员 自动 禁用 受 影响 的 账号 ， 但 是 这 可 能 会 使 管理 员 遭 到 一 个 恶意 攻击 。 如 
果 人 入侵 者 向 站 级 用 户 于 号 江 供 了 无 才 的 密码 (可能 放 意 ) 那 和 自打 全 
户 不 能 访问 系统 。 


作为 UNIX 环 境 中 的 一 项 黑客 技术 ， 密 码 猜 测 已 经 过 时 了 ， 这 是 因为 它 很 容易 被 检查 
出 来 ， 并 且 已 经 有 很 多 可 用 的 蔡 代 方法 了 。 然 而 ， 有 必要 指出 ， 黑 客 正 在 利用 密码 猜测 
技术 来 对 付 Windows NT 和 语音 邮件 系统 。 来 自 皇家 加 拿 大 骑 警 的 一 份 最 近 的 安全 公告 中 
报告 了 “一 个 称 做 VMB 黑 客 的 程序 ， 该 程序 能 够 用 来 自动 拨 叫 语音 邮件 电话 线路 并 尝试 
存放 在 黑客 建立 的 一 个 文件 中 的 不 同 密 码 "。fRCMP] 
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4. 密码 破解 

对 UNIX 安 全 的 一 个 更 大 的 威胁 来 自 于 标准 UNIX 认 证 机 制 中 的 广为人知 的 脆弱 性 。 采 用 
的 技术 称 为 密码 破解 技术 。 为 了 理解 密码 破解 的 工作 原理 ， 我 们 首先 需要 介绍 一 下 密码 加 密 
机 制 的 工作 原理 。 当 创建 密码 时 ， 密 码 的 前 8 个 字符 同一 个 “salt” 的 时 蕉 相 结合 。 密 码 和 salt 
都 用 做 对 加 密 过 程 的 输入 。salt 是 用 来 搅乱 密码 的 。 加 密 机 制 的 输出 是 一 个 加 密 过 的 字符 串 ， 
它 包括 salt 和 加 密 后 的 密码 。 该 加 密 过 的 字符 串 保存 在 /etc/passwd 文 件 中 ， 它 的 前 两 个 位 置 用 
来 存放 salt。 当 登录 时 ， 输 入 的 密码 和 同 输入 的 账号 相关 的 salt 都 传送 到 UNIX 加 密 机 制 。 如 果 
密码 文件 中 的 加 密 过 的 字符 串 同 UNIX 加 密 机 制 的 输出 相 匹配 , 那么 输入 的 密码 就 通过 了 检验 ， 
然后 就 可 以 登录 了 。 

不 幸 的 是 ， 黑 客 们 都 非常 精通 密码 机 制 的 原理 ， 并 且 能 够 加 以 利用 。 尽 管 加 密 算法 本 身 
能 经 得 起 破译 的 考验 ， 但 是 标准 UNIX 密 码 数据 库 可 以 使 用 一 个 密码 破解 器 进行 攻击 。 黑 客 早 
就 认识 到 ， 如 果 他 们 把 字典 中 的 每 个 条 目 都 交 给 加 密 算法 ， 那 么 他 们 就 能 够 把 加 密 过 的 输出 
同 加 密 过 的 密码 字符 串 进行 比较 。 如 果 使 用 了 大 量 的 单词 ， 那 么 至 少 匹 配 一 个 密码 的 可 能 性 
还 是 很 高 的 。 后 来 出 现 了 一 些 算法 ， 它 们 能 够 利用 字典 中 的 条 目 从 而 大 大 提高 成 芒 本 的 
能 性 。 图 10-1 说 明了 密码 破解 器 的 工作 原理 。 





应 用 于 每 个 字 
典 单词 的 算法 


图 10-1 密码 破解 


通常 ，/etc/passwd 数 据 库 只 能 被 超级 用 户 修改 ,但 是 每 个 UNIX 用 户 都 可 以 读 取 它 。 因 为 
密码 文件 是 可 读 的 ， 所 以 能 够 拷贝 和 分 析 它 。 然后 把 加 密 过 的 密码 同 对 字典 中 每 一 条 进行 加 
密 后 所 得 到 的 值 进行 比较 ， 如 果 二 者 匹配 则 表明 密码 猜 出 来 了 。 字 典 是 用 户 自 定义 的 ， 它 可 
以 包含 普通 单词 、 倡 语 、 名 字 等 。 也 可 以 调用 算法 来 测试 大 小 写 敏感 性 ， 以 及 插入 或 追加 特 
殊 字 符 和 数字 。 . 

健壮 的 密码 能 抵抗 密码 破解 企图 。 这 样 的 密码 至 少 需要 包含 6 个 字符 ， 其 中 大 小 写 要 混合 
并 且 还 要 有 特殊 字符 和 数字 。 例 如 ; F>Ru2n0 就 符合 标准 。 应 该 指出 ， UNIX 只 对 密码 的 前 8 
个 字符 进行 加 密 。 还 有 ， 尽管 一 般 情况 下 终端 用 户 有 最 小 密码 长 度 的 限制 ， 但 是 超级 用 户 并 
不 受 此 约束 。 : 
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为 了 表明 密码 破解 技术 的 威力 ，UNIX 系 统管 理 员 和 同安 全 有 关 的 人 员 都 要 了 解密 码 破 解 
工具 。 经 验 表 明 ， 使 用 一 个 不 超过 10000 个 单词 的 字典 ， 在 10 分 钟 内 就 能 够 破解 出 一 个 普通 
UNIX 密 码 文件 中 的 10 旬 的 账号 密码 ! 卡 内 基 梅 隆 大 学 的 Daniel V. Klein 对 密码 安全 性 做 了 分 
析 ， 他 测试 了 大 量 密码 的 抗 破解 能 力 ， 测 试 表明 :“ 结 果 令 人 吃惊 ,使 用 密码 破解 技术 ,很 大 
一 部 分 密码 都 可 以 破解 出 来 。 应 该 认识 到 ， 通 过 使 用 含有 几 百 万 个 单词 的 字典 以 及 更 为 复杂 
的 规则 ， 然 后 连续 数 天 进行 破解 ， 破 解 出 的 密码 的 数量 还 会 更 大 。 

对 付 密码 破解 的 最 好 办 法 是 向 普通 用 户 隐 藏 /etc/passwd 数 据 库 。 由 于 加 密 密 码 字符 串 不 
能 再 拷贝 ， 所 以 这 样 能 保证 密码 破解 器 的 失败 。 将 在 第 12 章 中 介绍 的 C2 安 全 实现 提供 了 这 种 
能 力 。 

5. 主 环境 

对 直接 访问 UNIX 系 统 的 所 有 用 户 在 登录 时 都 提供 了 一 个 默认 目录 。 该 目录 有 时 候 称 为 
HOME 目 录 ， 这 是 因为 变量 $HOME 保 存 了 该 目录 的 PATH 或 位 置 。HOME 目 录 可 以 是 多 入 共 
享 的 ， 也 可 以 是 每 个 用 户 独立 的 。 后 者 是 推荐 做 法 ， 这 是 因为 HOME 目录 下 一 般 包 含 了 很 多 
在 用 户 登 录 时 自动 执行 的 脚本 。 如 果 HOME 目 录 或 者 这 些 登 录 脚 本 没有 受到 保护 ， 那 么 它们 
就 可 以 修改 成 自动 执行 不 在 用 户 权 限 范 围 之 内 的 命令 。 其 他 用 户 对 HOME 目录 的 读 访 问 也 是 
不 允许 的 ， 因 为 用 户 邮件 和 其 他 个 人 信息 可 能 放 在 该 目录 下 。  . 

很 明显 ， 应 该 保护 用 户 的 环境 ， 而 对 超级 用 户 的 环境 则 必须 要 绝对 地 进行 保护 。 对 超级 
用 户 登录 脚本 的 修改 会 自动 执行 ， 并 且 超 级 用 户 在 登录 时 可 能 察觉 不 到 。 在 这 些 脚 本 中 所 添 
加 的 任何 命令 或 程序 都 会 以 超级 用 户 权限 执行 。 这 种 攻击 形式 的 一 种 变 体 是 散布 一 个 雷 区 。 
人 侵 者 知道 ， 启 动 进 程 是 代表 一 个 用 户 自动 运行 的 ， 而 不 仅仅 是 在 登录 时 。 如 果 能 修改 启动 
脚本 ， 那 么 它 里 面 的 任何 语句 都 将 在 其 所 属 用 户 的 全 部 权限 下 执行 。 

关于 布雷 的 例子 可 以 从 使 用 vi 编辑 器 中 看 出 。 当 vi 编辑 器 激活 时 ， 它 会 查找 一 个 称 做 .exrc 
的 启动 脚本 。 如 果 在 当前 工作 目录 下 找到 ， 那 么 该 脚本 就 会 自动 执行 。 如 果 人 侵 者 在 很 多 目 
录 下 都 放 了 一 个 修改 过 的 ,exrc 他 们 一 般 具 有 对 /tmp 和 /usr/tmp 的 写 访问 权 )， 当 超 级 用 户 在 
这 些 目录 下 执行 vi 命令 时 ， 地 雷 就 会 突然 爆炸 。 | 

在 其 HOME 环境 下 ， 用 户 通常 有 很 多 默认 设置 ， 其 中 包括 1 多 必须 要 仔细 实现 的 变量 设 
置 。 一 个 常见 的 错误 是 不 正确 地 实现 PATH 变量 。 当 提交 一 个 命令 时 ， 系统 会 在 PATH 变量 所 
设置 的 目录 下 查找 可 执行 文件 。 如 果 PATH 中 包括 了 “.”， 那 么 当前 目 录 就 会 在 查找 范围 内 。 
很 明显 ，UNIX 命 令 只 不 过 是 某 个 目录 下 的 程序 。 例 如 ，who 命 令 就 是 /bin 目 录 下 的 二 进 制 文 
件 who。PATH 变 量 通知 操作 系统 要 在 /bin 目 录 下 查找 二 进 制 文件 who。 如 果 “.” 是 PATH 中 的 
第 一 个 目录 ， 那 么 当前 目录 就 会 在 /bin 目 录 之 前 查找 。 问题 在 于 ， 如 果 黑 客 可 以 把 一 个 修改 过 
的 脚本 或 者 二 进 制 文件 放 在 当前 工作 目录 下 并 为 其 命名 为 who， 那么 执行 的 就 是 这 个 who 而 不 
是 那个 真正 的 命令 ， 这 是 因为 在 PATH 变量 中 当前 目录 位 于 /bin 目 录 之 前 。 

6. 系统 目录 和 文件 中 的 特洛伊 木马 

UNIX 操 作 系统 包括 了 几 百 个 目录 和 上 千 个 文件 。 而 各 个 厂商 和 各 种 应 用 软件 则 为 环境 带 
来 了 更 大 的 复杂 性 。 系 统 启动 脚本 、ASCIi 数 据 文件 、 二 进 制 可 执行 文件 以 及 库 ( 所 有 这 些 组 
成 了 操作 系统 ) 都 是 普通 用 户 可 以 查看 的 。 只 有 很 少数 的 操作 系统 功能 是 真正 由 操作 系统 本 
身 所 保持 的 ， 大 多 数 功能 都 保存 在 普通 文件 中 。 UNIX 命 令 只 不 过 是 这 些 文件 的 名 字 而 已 。 
UNIX 使 用 标准 UNIX 文 件 访问 权限 模式 来 保护 这 些 资源 。 对 UNIX 操 作 系 统 资源 实行 访问 控制 
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要 依靠 文件 和 目录 访问 权限 的 结合 。 如 果 某 个 操作 系统 资源 能 被 破坏 ， 那 么 整个 系统 都 有 可 
能 遭受 到 滥用 。 普 通 的 UNIX 系 统一 般 有 几 百 个 目录 几 千 个 文件 需要 保护 ， 所 以 只 有 使 用 自动 
工具 才能 保证 维护 访问 控制 得 以 保持 ， 这 是 惟一 的 解决 方案 。 

7. 启动 文件 

UNIX 使 用 一 系列 的 独立 启动 脚本 来 启动 系统 。 主 启动 脚本 通常 称 做 /etc/rc， 该 脚本 会 调 
用 很 多 其 他 相关 脚本 。 在 系统 启动 时 ， 这 些 脚本 会 自动 执行 ， 并 且 使 用 非常 高 的 特权 。 这 些 
脚本 中 的 所 有 命令 是 使 用 超级 用 户 特权 执行 的 。 用 于 启动 的 目录 (特别 是 /etc 目 录 ) 和 它们 所 
包含 的 文件 都 应 该 保护 以 免 草 修改。 对 这 些 脚 本 的 任何 修改 都 应 该 受到 最 大 程度 的 怀疑 。 

8. 通过 设置 用 户 ID 程 序 的 权限 委托 

正常 情况 下 ，UNIX 下 的 程序 一 般 是 在 调用 该 程序 用 户 的 权限 下 运行 。 设 置 用 户 ID 
( SUID ) 程序 是 一 种 特殊 的 程序 ， 它 在 该 程序 拥有 者 的 权限 下 运行 。SUID 程 序 可 以 是 二 进 制 
程序 , 也 可 以 是 shell 脚 本 ( 一 组 ASCH 命 令 )。 它们 都 启用 了 一 个 特殊 的 权限 位 ( 称 做 SUID 位 )。 
SUID 程 序 是 与 安全 紧密 相关 的 ， 因 为 它们 是 作为 文件 的 拥有 者 而 不 是 实际 的 用 户 来 运行 的 。 
SUID 程 序 中 的 弱点 可 以 加 以 利用 从 而 得 到 未 经 授权 的 特权 。 

根 SUID 程 序 是 超级 用 户 所 拥有 的 程序 ， 它 们 在 超级 用 户 的 权限 下 运行 。 因此， 它们 是 非 ， 
党 危险 的 ， 所 以 必须 要 受到 严格 的 控制 。 如 果 某 个 运行 根 SUID 程 序 的 用 户 能 够 提交 修改 文件 
的 命令 ， 那 么 他 就 可 以 作为 超级 用 户 来 运行 命令 。 如 果 用 户 能 够 从 程序 中 退出 ， 并 得 到 一 个 
UNIX shell 提 示 ， 那 么 这 就 更 危险 了 。 

如 果 一 个 用 户 能 够 在 短 时 间 内 得 到 超级 用 户 密码 ， 那么 他 可 以 使 用 下 面 的 命令 来 创建 一 
个 危险 的 SUID shell 程 序 : 

$su 

password: <Enter the root password> 

# 

#cp /bin/ksh .anytime_I want to_ be_root 

#chmod 4555 .anytime_I_want_to_be_root 

#exit 

$ 

为 什么 这 会 有 危险 ? 这 是 因为 /bin/ksh 程 序 是 一 个 UNIX shell 或 者 命令 解释 器 ， 它 提供 
UNIX 提 示 并 允许 用 户 输入 UNIX 命 令 。 正 常情 况 下 ， 该 shell 运 行 在 用 户 权限 下 ， 它 没有 特殊 
的 权限 。 然 而 在 上 面 的 例子 中 ， 该 shel 被 超级 用 户 所 拷贝 ， 因此 现在 它 由 超级 用 户 所 拥有 。 
由 于 在 上 面 例子 中 使 用 chmod 程 序 启用 了 SUID 权 限 位 (chmod 4555 )， 所 以 该 shell 会 作为 资源 
的 拥有 者 运行 一 一 那 是 root! 每 次 这 个 新 .anytime 脚 本 执行 时 ， 它 都 会 作为 超级 用 户 来 执行 。 
用 户 甚至 不 再 需要 提供 超级 用 户 密 码 ! 

UNIX 操 作 系 统 ( 有 时 候 还 有 它 的 应 用 程序 ) 会 包含 很 多 SUID 程 序 。 这 些 标准 SUID 程 序 
的 出 现 不 会 被 看 做 不 正常 ， 但 是 新 SUID 程 序 的 出 现 有 可 能 表明 系统 遭 到 了 攻击 。 

9. 设备 文件 安全 性 

设备 文件 ， 也 称 做 特殊 文件 ， 是 UNIX 操 作 系统 用 来 同 其 硬件 子 系统 进行 通信 的 。 这 些 子 
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系统 包括 磁盘 、 磁 带 、 网 络 设备 〈 例 如 LAN 网 卡 ) 以 及 内 存 。 需 要 认识 到 ， 设备 文 件 可 以 绕 
过 正常 的 UNIX、 网 络 以 及 数据 库 安全 控制 。 如 果 有 对 一 个 磁盘 设备 文件 的 访问 权 ， 用 户 可 以 
查看 UNIX 文 件 或 者 数据 库 的 内 容 ， 而 无 需 顾 及 UNIX 或 者 数据 库 控制 。 如 果 有 对 内 存 设备 文 
件 的 写 访 问 权 ， 那 么 用 户 可 以 改变 进程 的 有 效用 户 ID 并 为 其 授予 非法 的 超级 用 户 特权 。 在 有 
些 UNIX 系 统 上 ，LAN 卡 有 可 能 被 误 用 ， 这 归 因 于 LAN 设 备 文件 ( 称 做 /dev/nit ) 的 松散 安全 
权限 。 这 是 卡 内 基 梅 隆 大 学 的 计算 机 应 急 小 组 (Computer Emergency Response Team, CERT ) 
在 1994 年 说 明 的 。 由 于 设备 文件 能 够 提供 绕 过 正常 控制 的 能 力 ， 所 以 必须 要 严格 保证 它们 的 
安全 ， 并 且 要 对 新 设备 文件 进行 仔细 的 检查 。 

10. UNIX 调 度 器 

UNIX 包 括 两 个 批 调度 器 ，at 和 cron。 这 两 个 调度 器 工作 方式 相同 ， 但 是 二 者 之 中 cron 用 
得 更 多 。 实 际 上 ， 用 户 可 以 创建 批 任务 调度 表 ， 并 把 它 提交 给 调度 器 。 提交 过 程 要 把 调度 表 
拷贝 到 一 个 安全 目录 下 。 调度 器 定期 检查 这 些 目录 的 内 容 ， 并 在 需要 的 时 间 调 用 批 任务 。 尽 
管 其 他 各 种 问题 过 去 已 经 很 明确 了 ， 但 是 对 于 调度 器 特别 是 at 调度 器 来 说 ， 有 两 个 重要 的 问题 
需要 解决 。 

第 一 个 问题 是 有 关 用 于 调度 的 目录 的 安全 性 的 。 提交 给 调度 器 的 任务 是 运行 在 提交 任务 
用 户 的 权限 下 的 。 如 果 超 级 用 户 的 任务 调度 表 可 以 修改 ， 那 么 其 中 一 个 未 经 授权 的 项 就 会 以 
超级 用 户 的 权限 运行 。 

第 二 个 问题 涉及 到 实际 批 任 务 本身 的 安全 性 。 如 果 这 些 任务 〈 实 际 上 是 由 普通 UNIX 语 名 
组 成 的 脚本 ) 可 以 修改 ， 那 么 任务 中 的 非法 声明 就 会 在 用 户 的 权限 下 运行 。 因 此 ， 一 定 要 使 
用 限制 性 的 文件 访问 权限 来 正确 保证 批 任务 的 安全 性 。 访问 权限 不 应 该 对 调度 脚本 或 者 它 执 
行 的 任何 程序 访问 。 

11. 备份 

备份 磁带 的 安全 性 是 一 个 重要 问题 。 除 非 介质 被 加 密 ， 否则 大 多 数 备份 磁带 都 很 容易 读 
取 。 如 果 用 户 能 够 访问 系统 文件 的 拷贝 ， 那么 在 没有 保护 的 情况 下 访问 系统 就 是 非常 有 可 能 
的 。 密 码 文件 〈 甚 至 隐藏 的 密码 文件 ) 可 以 提取 出 来 ， 然后 破坏 者 就 可 以 通过 密码 破解 技术 
来 破解 其 中 的 密码 。 备份 磁带 的 物理 安全 和 记录 信息 是 非常 重要 的 。 保护 不 严密 的 备份 介质 
敞开 了 系统 的 大 门 。 


10.4 结论 


保证 UNIX 系 统 的 安全 需要 进行 很 多 工作 。 在 开始 阶段 建立 一 个 正确 的 控制 结构 并 定期 监 
视 控制 是 非常 重要 的 。 然 而 ， 积 极地 检查 系统 以 防 出 现 “ 雪 地 里 的 脚印 ”也 是 非常 重 票 的 ， 
这 是 系统 管理 员 的 职责 。 有 关 黑 客 活动 的 所 有 迹象 都 应 该 严格 的 调查 。 在 下 一 章 中 ， 将 继续 
探讨 UNIX 的 安全 性 。 将 进入 UNIX 最 强大 但 也 是 问题 最 多 的 领域 : 网 络 。 
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本 章 将 继续 探讨 UNIX 操 作 系统 的 安全 性 。 首 先 看 一 下 流行 的 UNIX 用 户 界 面 
Windows 系 统 。 但 是 本 章 的 首要 着 眼 点 是 UNIX 网 络 服务 。 通 过 多 种 服务 ， 同 其 他 系统 进行 通 
信 的 能 力 是 UNIX 系 统 最 强大 的 功能 之 一 。 从 安全 角度 上 看 ， 这 也 是 问题 最 多 的 一 个 领域 。 


本 章 所 分 析 的 许多 网 络 服务 其 实 并 不 是 UNIX 的 专 有 了 服务。 例如 ， 很 多 计算 平台 都 提 
供 telnet 服 务 ， 如 Windows、OS/2 以 及 Windows NT。 把 这 些 网 络 服务 包括 在 本 章 内 容 中 ， 


并 不 是 因为 它们 是 UNIX 所 专 有 的 ， 而 是 因为 它们 最 初出 现在 UNIX 环 境 中 或 者 是 刻 UNTX 
环境 有 关系 的 。 





同 第 10 章 一 样 ， 本 章 也 将 着 腿 于 分 析 问 题 。 这 些 问题 的 解决 方案 将 在 下 一 一 章 介绍 。 本 章 
最 后 将 讨论 一 些 表 明 系 统 中 出 现 安 全 问题 的 信号 。 

X-Windows | ” 

MIT 开 发 的 X-Windows 系统 (XX) 是 UNIX 世 界 中 的 窗口 界面 的 事实 标准 。 x 是 一 个 支持 几 
户 交 互 的 神奇 工具 。X 非 常 易于 使 用 , 这 为 远程 计算 机 间 信 息 和 图 像 的 共享 提供 了 优秀 的 功能 。 
不 幸 的 是 ， 尽 管 X 的 体系 结构 是 非常 优秀 的 ， 但 是 在 安全 性 方面 X 却 有 很 多 的 问题 。 对 于 那些 
希望 在 X 体 系 结构 中 拥有 信任 的 人 来 说 ， 他 们 必须 要 解决 很 多 问题 。 

X 体 系 结构 的 一 个 缺点 是 它 没 有 认识 到 有 些 动 作 是 特权 化 的 。 一 旦 通过 认证 ， 任何 用 户 都 
能 够 无 限制 地 访问 X-Windows 管 理 器 的 所 有 功能 。 拥 有 了 对 X-Window 管 理 器 的 访问 权 以 后 ， 
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不 管 对 其 他 用 户 有 何 影 响 ， 用 户 的 请 求 总 是 合法 的 。 连 到 X 上 的 用 户 可 以 关闭 不 归 他 们 所 有 的 
窗口 。 他 们 可 以 控制 其 他 用 户 ( 包括 超级 用 户 ) 的 鼠标 和 键盘 ， 并 破坏 X 服 务 器 的 安全 性 。 阻 
止 未 经 授权 的 活动 只 有 通过 X-Windows 访问 控制 机 制 。 

对 X-Windows 服务 器 的 访问 控制 是 由 一 个 称 做 xhost 的 程序 和 一 套 相 关 的 控制 文件 (一 般 
命名 为 /etc/Xn.hosts ) 来 完成 的 。 访 问 控 制 是 基于 主机 名 或 者 客户 机 的 相关 网 络 地 址 的 。 基 于 
主机 名 或 者 网 络 地 址 的 访问 可 能 在 单 用 户 工作 站 环境 中 是 合适 的 ， 但 是 它 不 适合 于 多 用 户 环 
境 。 多 用 户 环境 需要 能 够 识别 独立 用 户 的 访问 控制 。 

为 了 解决 基于 用 户 的 访问 控制 问题 ，MIT 开 发 了 一 套 名 为 Magic Cookie 的 代替 机 制 。MIT 
Magic Cookie ( 在 X11R4 发 布 版 中 引入 ) 使 用 一 个 共享 的 密 钥 来 对 独立 用 户 进行 认证 。 该 密 钥 
(实际 上 是 一 个 由 计算 机 生成 的 字符 串 ) 保存 在 文件 .Xauthority 中 ， 该 文件 位 于 用 户 的 HOME 
目录 中 。 如 果 该 文件 可 以 拷贝 ， 那 么 Magic Cookie 就 可 能 被 窃取 并 用 于 欺骗 目的 。Magic 
Cookie 在 LAN 上 是 可 见 的， 使 用 包 截 获 技术 可 以 探查 到 它 。 

X-Windows 的 X11R5 发 布 版 中 引入 了 另外 一 套 访问 控制 机 制 ， 其 术语 名 称 是 XDM- 
AUTHORIZATION-1。 该 机 制 使 用 DES 加 密 算法 来 保护 LAN 上 的 用 户 密 钥 。 然 而 对 于 全 球 范 
围 的 用 户 来 说 不 幸 的 是 ，DES 是 受 美 国 国防 部 出 口 限制 的 ， 所 以 在 美国 境外 使 用 XDM- 
AUTHORIZATION-1 是 受 限制 的 。 

通过 替换 认证 策略 并 人 允许 对 所 有 客户 机 的 访问 ， 任 何 X 用 户 都 可 以 削弱 认证 过 程 。 这 是 因 
为 X 缺 乏 特权 用 户 的 概念 ， 所 有 经 过 认证 的 用 户 都 授予 对 X 服 务 器 的 全 部 访问 权 。 尽 管 存在 解 
决 认证 机 制 前 弱 问 题 的 方案 (XDM-AUTHORIZATION 、Kerberos 或 者 公开 密 钥 技术 )， 但 和 
的 体系 结构 使 得 不 可 能 全 面 解决 管理 访问 控制 的 问题 。 

对 于 X-Windows 安 全 性 问题 ， 目 前 有 三 种 解决 方法 ， 其 中 有 一 种 是 可 行 的 。 第 一 种 是 多 
许 暴露 ， 这 肯定 是 今天 最 常见 的 回答 。 第 二 种 是 使 用 过 滤 ( 使 用 过 滤 软 件 或 者 硬件 路 由 器 ) 
把 X-Windows 客户 机 限定 到 具体 的 网 络 地 址 。 第 三 种 方法 是 部 署 一 个 提供 更 为 安全 的 X- 
Windows 版 本 的 商业 产品 。 访 问 控制 机 制 必须 要 不 断 地 评审 ， 从 而 确保 它 的 存在 和 功能 性 。 
” 对 访问 控制 策略 的 改变 ， 例 如 发 现 对 X-Windows 显示 管理 器 的 通用 访问 ， 必须 要 作为 最 高 的 
怀疑 对 象 进行 对 待 。 


11.1 UNIX 网 络 服务 


UNIX 服 务 器 可 以 提供 很 多 种 网 络 服务 ， 其 中 包括 终端 连接 、 文 件 传输 、 磁盘 和 打 印 共享 
服务 、 本 地 命令 的 远程 执行 以 及 进程 间 通 信 。 客 户 机 可 以 自由 请 求 服务 器 上 的 任何 服务 。 服 
务 器 有 能 力 决定 它们 要 实现 娜 些 网 络 服务 ， 以 及 在 某 些 情况 下 决定 同 哪些 客户 机 进行 通信 。 
需要 认识 到 ， 每 种 UNIX 网 络 服务 都 有 某 种 形式 的 安全 暴露 问题 。 只 有 那些 会 被 真正 请 求 的 服 
务 才 应 该 开启 , 但 不 幸 的 是 , 顾客 购买 到 的 大 多 数 版 本 的 UNIX 都 默认 开启 了 大 量 的 网 络 服务 。 
在 下 面 ， 首 先 介绍 标准 UNIX 网 络 服务 的 工作 原理 ， 然后 探讨 一 些 主 要 地 网 络 服务 ， 其 中 包括 
ARPA、 伯 克利 和 UUCP 家 族 。 


11.1.1 标准 UNIX 网 络 服务 的 工作 原理 


UNIX 系 统 使 用 一 个 称 做 inetd 守 护 神 的 特殊 后 台 进程 来 激活 向 它们 请 求 的 网 络 服务 。 当 去 
往 UNIX 机 器 的 流量 被 LAN 接 口 捕获 到 时 ，inetd 守 护 神 就 会 激活 。 UNIX 网 络 服务 可 以 分 为 两 
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类 : 已 知 服务 和 远程 过 程 调用 。 

广泛 使 用 的 服务 通常 使 用 一 个 特殊 的 数字 来 标识 ， 该 数字 称 做 端口 号 。 客 户 机 发 送 到 服 
务 器 的 包 中 包括 的 是 端口 号 而 不 是 服务 名 。 例 如 ， 用 于 telnet 服 务 的 端口 号 通常 是 23。 当 服务 
器 接收 到 一 个 以 它 为 目的 地 的 包 时 ， 它 会 根据 端口 号 在 /etc/services 文 件 中 查询 请 求 的 服务 。 
如 果 找 到 了 ， 服 务 器 就 会 启动 在 /etc/inetd.conf 数 据 库 中 找到 的 守护 神 进程 以 同 客户 机 对 话 。 
如 果 查 询 失 败 ， 那 么 就 会 返回 到 客户 机 一 个 通信 和 错误。 网 络 文件 系统 ( NFS ) 是 个 例外 ， 它 
使 用 远程 过 程 调用 来 通信 。 

图 11-1 提 供 了 一 个 简化 的 概 图 来 说 明 UNIX 网 络 服务 客户 机 和 服务 器 是 如 何 进行 通信 的 。 
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图 11-1 _ UNIX 网络 概 图 


“11.1.2 远程 过 程 调用 


远程 过 程 调用 .( Remote Procedure Call，RPC ) 是 一 个 用 于 客户 机 -服务 器 通信 的 方法 。 
程序 员 创建 一 个 接口 ， 该 接口 定义 了 服务 器 程序 中 子 例 程 的 位 置 ， 并 为 请 求 的 服务 器 分 派 一 
个 特殊 的 程序 号 。 通 常 ， 服 务 器 程序 不 使 用 一 个 已 知 端口 ， 而 是 使 用 一 个 特殊 程序 ( 称 做 端 . 
口 晓 射 器 ) 的 服务 来 同 客户 机 进行 通信 。 端 口 映射 器 在 服务 器 启动 时 注册 服务 器 ， 并 同 服 务 
器 协商 一 个 端口 号 。 客 户 机 通过 联系 端口 映射 器 来 确定 使 用 哪个 端口 号 ， 然 后 客户 机 使 用 端 
口 映 射 器 返回 的 端口 号 同 服务 器 进行 通信 。 

有 些 RPC 机 制 可 以 被 恩 弄 ， 从 而 认为 它们 正在 同一 个 已 经 认证 的 用 户 进行 对 话 。UNIX 网 
络 服务 通过 使 用 序列 号 来 跟踪 它们 位 于 客户 机 -服务 器 认证 过 程 的 位 置 。 有 些 人 侵 者 可 以 使 用 
一 种 称 为 顺序 攻击 的 技术 来 进行 攻击 。 该 技术 的 思路 是 通过 向 服务 器 提供 一 个 精心 设计 的 序 
列 号 来 绕 过 认证 过 程 。 在 这 种 情况 下 ， 服 务 器 会 认为 用 户 已 经 通过 了 认证 。 包括 NFS 在 内 的 
许多 UNIX 服 务 器 都 曾 遭 到 过 这 种 攻击 。 
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11.1.3 伯克利 服务 


伯克利 服务 (包括 命令 rsh、remsh、zrlogin 以 及 rcp ) 用 来 进行 远程 命令 执行 、 远 程 登 录 以 
及 文件 拷贝 。 伯 克利 服务 的 首要 问题 是 他 们 人 允许 主机 等 效 性 。 主 机 等 效 性 是 一 个 基于 如 下 思 
想 的 概念 ， 如 果 一 个 用 户 或 进程 已 经 在 一 个 可 信 计 算 机 (主机 ) 上 通过 了 认证 ， 那 么 就 没有 
必要 在 第 二 台 计 算 机 上 也 对 该 用 户 进 行 认 证 。 这 里 假定 第 二 台 计 算 机 信任 第 一 台 计 算 机 ， 并 . 
从 而 把 认证 的 等 效 性 扩展 到 文件 系统 。 图 11-2 提 供 了 一 个 说 明 UNIX 中 主机 等 效 性 的 概 图 。 

开发 主机 等 效 性 工具 的 首要 动机 是 为 了 它 的 方便 性 。 主 机 等 效 性 使 得 用 户 可 以 很 容易 地 
在 多 个 计算 机 上 执行 任务 但 不 必 在 每 台独 立 计算 机 上 都 进行 认证 。 主 机 等 效 性 的 问题 是 ， 如 
果 一 台 主 机 能 遭 到 一 次 安全 攻击 的 破坏 ， 那 么 同 该 主机 等 效 的 所 有 系统 都 会 很 容易 地 破坏 。 
1988 年 的 因特网 蠕虫 攻击 所 采用 的 方法 之 一 就 是 利用 主机 等 效 性 来 绕 过 安全 性 。 


如 果 主 机 等 效 性 服 
务 是 可 用 的 ， 并且 
$HOME/.rhosts 存 在 
于 服务 器 上 ， 那 么 系统 B 
不 需要 任何 密码 
































图 11-2 UNIX 主 机 等 效 性 概 图 


主机 等 效 性 是 通过 使 用 .rhost、.netrc 和 /etc/hosts.equiv 文 件 扩展 的 。 应 该 指出 ， 在 限制 最 
少 的 形式 下 (默认 情况 )， 主 机 等 效 性 可 以 被 普通 用 户 扩展 到 其 他 系统 。 如 果 一 个 用 户 在 他 的 
HOME 目录 下 建立 一 个 .rhost 文 件 ， 那 么 当 从 其 他 系统 上 访问 这 人 台 计 算 机 时 该 用 户 就 会 为 其 自 
己 扩展 主机 等 效 性 。 用 户 不 要 求 系统 管理 员 的 干预 。 为 了 解决 该 间 题 ， 系统 管理 员 可 以 启用 
另 一 种 形式 的 更 受 限制 的 主机 等 效 性 。 通 过 重新 配置 ， 可 以 把 主机 等 效 性 从 普通 用 户 中 取消 ， 
并 且 要 求 必须 通过 /etc/hosts.equiv 文 件 。 正 常情 况 下 ， 普通 用 户 是 不 能 修改 这 个 文件 的 。 

尽管 主机 等 效 性 是 绝对 不 予 鼓励 的 ， 但 是 应 该 认识 到 有 时 候 主机 间 的 等 效 性 是 一 项 功能 
需求 ， 这 种 情况 是 存在 的 。 例 如 ， 有 些 分 布 式 备份 方 案 需 要 客户 机 的 root 账 号 把 主机 等 效 性 扩 
展 到 中 心 备 份 服务 器 。 除 非 有 某 些 原因 使 得 伯克利 网 络 服务 非 用 不 可 ， 否则 请 把 它们 禁用 。 
所 有 的 .rhost 文 件 都 应 该 仔细 检查 。 它 们 可 能 会 使 系统 遭 到 破坏 ， 并 间接 地 破坏 到 其 他 系统 。 
它们 可 能 就 是 “ 雪 地 里 的 脚印 ”。 


11.1.4 远程 执行 工具 


远程 执行 工具 ( Remote Execution Facility，REF ) 是 用 来 在 一 个 服务 器 上 提供 命令 的 远 
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程 执行 。 该 功能 同 伯克利 remsh (或 者 rsh ) 工具 类 似 。REX 具 有 特殊 功能 ， 它 可 以 通过 使 用 
NFS 把 用 户 的 本 地 HOME 环 境 自动 加 载 到 服务 器 上 。REX 也 把 本 地 用 户 设置 传送 到 服务 器 上 
(以 环境 变量 的 形式 )。 图 11-3 是 一 个 REX 概 图 。 


从 系统 A 中 得 到 用 户 
的 HOME 环 境 











在 系统 B 上 执行 一 个 命令 














图 11-3 远程 执行 工具 


在 信任 方面 ，REX 有 很 多 问题 。REX 的 默认 实现 允许 每 个 用 户 都 可 以 访问 服务 器 ， 这 是 
建立 在 用 户 ID 号 基础 上 的 。 超 级 用 户 是 个 例外 ， 他 们 不 能 使 用 REX。 这 种 模式 对 提出 请 求 的 
客户 机 不 进行 任何 认证 。 拥 有 自己 工作 站 的 任何 用 户 可 以 使 用 任意 一 个 用 户 ID 。 即 使 系统 号 
受 限 ， 用 户 ID 号 在 客户 机 系统 上 也 是 相对 很 容易 操作 的 。 

REX 能 够 把 用 户 本 地 环境 ( 如 他 们 的 磁盘 ) 加 载 到 服务 器 上 ， 这 也 增加 了 安全 性 的 复杂 
程度 。 尽 管 加 载 一 个 外 部 磁盘 系统 需要 具有 服务 器 上 的 高 级 授权 ， 但 REX 用 户 还 是 能 够 使 用 
某 种 方法 把 本 地 磁盘 或 外 部 磁盘 系统 加 载 到 服务 器 上 。 


11.1.5_ Telnet 服务 


telnet 服 务 用 来 提供 远程 (如 在 LAN 上 ) 终端 访问 。 正 常情 况 下 ， 一 个 成 功 的 telnet 登 录 会 
为 用 户 提供 一 个 shell 提 示 ， 但 是 它 也 可 以 配置 成 提供 一 个 应 用 程序 或 者 数据 库 菜单 。UNIX 服 
务 器 对 telnet 用 户 的 认证 方式 也 是 使 用 标准 的 /etc/passwd 文 件 ， 这 同 前 一 章 中 所 介绍 的 标准 方 
式 完全 一 样 。telnet 服 务 不 提供 LAN 上 的 加 密 ， 所 以 任何 telnet 用 户 都 可 能 会 受到 包 截获 攻 击 。 
如 果 一 个 用 户 使 用 telnet 成 为 超级 用 户 ， 那 么 他 就 有 可 能 会 把 超级 用 户 密码 暴露 给 LAN 上 的 监 
听 者 ， 这 是 因为 密码 是 以 明文 形式 传送 的 。 

因此 ， 许 多 系统 管理 员 限制 超级 用 户 的 telnet 访 问 只 能 在 系统 所 直接 连接 的 系统 控制 台 上 
进行 。 系 统 控制 台 同 主机 的 通信 并 不 通过 LAN， 所 以 密码 截获 攻击 无 从 下 手 。 在 大 多 数 UNIX 
系统 上 ， 这 种 限制 (包括 rlogin ) 是 通过 一 个 称 做 /etc/securetty 的 文件 来 进行 的 。 


11.1.6 文件 传输 协议 


文件 传输 协议 (File Transfer Protocol，FTP ) 是 用 来 在 系统 间 传 输 文件 的 。 在 FTP 的 标准 
实现 中 ， 用 户 必须 要 有 服务 器 上 的 一 个 有 效 UNIX 账 号 。 FTP 认 证 使 用 标准 UNIX 密 码 机 制 。 
FTP 有 一 个 特殊 之 处 ， 它 要 求 用 户 在 连接 之 前 提供 密码 。 空 密码 是 不 允许 的 ， 超级 用 户 更 是 如 
此 。 连 接 以 后 ， 用 户 可 以 拷贝 任何 他 具有 读 访问 权 的 文件 ， 包 括 /etc/passwd 文 件 。 在 其 具有 
写 访问 权 的 目录 下 ， 用 户 可 以 创建 新 文件 ， 或 者 替换 已 有 文件 。 
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同 telnet 一 样 ，FTP 在 LAN 上 传递 密码 也 是 采用 不 加 密 的 明文 形式 。 因 此 ，FTP 也 会 受到 
密码 截获 攻击 。 因 此 ， 系 统管 理 员 通常 把 FTP 的 使 用 只 限定 到 没有 高 级 特权 的 账号 上 。 文 件 
/etc/ftpusers 可 以 用 于 此 目的 。 该 文件 中 所 列举 的 所 有 账号 都 禁止 通过 FTP 对 本 地 系统 进行 接 
人 连接 。 外 出 FTP 会 话 不 受 该 控制 的 影响 。 

通过 一 个 名 为 .netrc 的 文件 ，FTP 也 人 允许 使 用 主机 等 效 性 。 如 果 该 文件 置 于 用 户 的 HOME 
目录 下 ， 并 且 包 含 接 人 系统 的 名 字 ， 那 么 用 户 就 不 需要 提供 密码 。 但 是 不 鼓励 使 用 ,netrc 及 其 
他 形式 的 不 可 信 主 机 等 效 性 。 


11.1.7 普通 文件 传输 协议 


普通 FTP (Trivial FTP，TFTP ) 是 FTP 的 一 个 简化 版 本 ， 它 允许 不 进行 认证 的 文件 拷贝 。 
TFTP 主 要 用 在 X-Windows 服 务 器 环境 下 ，X 终 端 通过 它 来 下 载 字体 和 其 他 信息 。 正 常情 况 下 ， 
TFTP 服 务 保留 了 对 选 定 目录 的 访问 权 ， 但 是 老 版 本 的 TFTP 允 许 对 整个 系统 的 不 受 限 访问 。 应 
该 指出 ， 有 些 路 由 器 把 TFTP 用 做 软件 配置 的 一 种 传输 机 制 。 这 种 方法 的 可 靠 性 是 非常 值得 怀 
颖 的。 一般 来 说 ， 如 果 没 什么 特殊 功能 需要 TFTP， 那么 就 应 该 禁用 它 。 


11.1.8 匿名 FTP 


匿名 FTP 是 一 种 更 安全 的 FTP ( 相对 于 TFTP 来 说 )， 它 广泛 用 于 因特网 上 公开 发 布 软件 的 
下 载 ( 对 不 可 信 客 户 )。 匿 名 FTP 使 用 chroot 系 统 调用 来 伪装 用 户 的 文件 系统 视图 。 从 用 户 的 
角度 上 看 ， 匿 名 FTP 目 录 是 系统 上 的 最 高 级 的 目录 。 用 户 不 能 改变 目录 到 更 高 级 或 者 横向 的 目 
录 ， 也 不 能 看 到 这 些 级 别 的 目录 或 文件 。 操 作 系 统 文件 和 二 进 制程 序 受到 了 保护 ， 这 是 因为 
匿名 FTP 用 户 根本 不 能 看 到 或 者 访问 它们 ! 图 11-4 提 供 了 匿名 FTP 的 一 个 概 图 。 





服务 器 


nnnnnnn 


服务 器 的 目 Doo 
录 结 构 0900000 





客户 机 










客户 机 认为 
/home/ftp 是 
wm 





图 11-4 匿名 FTP 
为 了 建立 这 种 服务 ， 认 证 文件 和 程序 必须 置 于 匿名 FTP 目 录 下 。 放 在 这 里 的 文件 和 程序 必 
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须要 受到 保护 以 免 遭 外 部 的 修改 。 还 有 ， 认 证 文件 不 应 该 反映 出 真正 的 系统 环境 。 系 统管 理 
员 千 万 不 要 盲目 的 把 /etc/passwd 文 件 拷贝 到 匿名 FTP 目 录 下 。 它 很 快 就 会 被 拷 走 并 破解 ! 但 是 
如 果 正 确实 现 ， 匿 名 FTP 是 很 难 破坏 的 。 


11.1.9 sendmail 


UNIX sendmail 程 序 是 负责 UNIX 邮 件 服务 的 ， 它 是 一 个 高 度 复杂 的 程序 。 由 于 该 程序 及 
其 伴随 配置 文件 sendmailcf 的 复杂 性 ，sendmail 程 序 早 就 成 了 人 侵 者 的 攻击 目标 。 推 荐 做 法 是 ， 
除非 有 特别 需要 ， 和 否则 禁用 UNIX 邮 件 ( 禁 掉 sendmail 守 护 神 程序 并 不 会 影响 系统 内 部 的 邮件 ， 
它 只 会 影响 来 自 网 络 的 邮件 )。 如 果 启 用 了 UNIX 邮 件 ， 请 一 定 要 装 上 所 有 最 新 的 厂商 
sendmail 安 全 补丁 。 











如 果 你 收 到 了 来 自 Boris Yeltsin 和 Mother Teresa 的 下 班 后 去 喝 咖 啡 的 手写 邀请 ， 那 么 
你 会 立即 询问 同事 。 这 种 怀疑 态度 也 应 该 应 用 到 每 一 份 电子 邮件 上 。 这 不 仅仅 是 安全 性 。 
发 送 者 标识 是 很 容易 伪造 的 。 对 于 一 封 在 路 上 的 信件 来 说 ， 它 很 有 可 能 会 被 熟悉 邮政 知 
识 的 人 截获 并 修改 。 邮 件 通常 放 在 一 个 公共 邮件 目录 下 ,或 者 放 在 用 户 的 HOME 目 录 下 。 
如 果 安 全 措施 根 脆弱 或 者 根本 没有 ， 那 么 用 户 的 邮件 就 很 容易 读 取 。 


第 二 个 问题 是 UNIX 上 邮件 进程 本 身 。 主 文件 及 其 伴随 二 进 制 程序 是 非常 复杂 的 。 看 一 下 
sendmail.cf 文 件 可 能 足以 吓 倒 很 多 系统 管理 员 。 由 于 它 的 复杂 性 ，sendmail 已 经 成 了 大 量 攻击 
的 目标 ， 其 中 包括 因特网 蠕虫 和 近来 的 HP/IBM/SUN 报 告 。 通 过 操纵 sendmail 程 序 来 得 到 
UNIX 密 码 文件 的 一 份 拷贝 是 最 早 的 技术 之 一 。 近 来 的 许多 报告 表明 ， 操 纵 sendmail 仍 然 是 可 
能 的 ， 并 且 将 继续 是 黑客 们 的 一 种 流行 做 法 。 另 外 ， 隐 秘 的 可 执行 程序 或 者 嘟 本 有 可 能 会 作 
为 正常 邮件 消息 的 一 部 分 传输 。 如 果 不 防止 的 话 ， 其 效果 可 能 同 收 到 一 个 信件 炸弹 类 似 ! 


11.1.10 信息 服务 


UNIX 信 息 服务 ， 如 finger 服 务 或 者 rwho， 可 以 对 未 经 认证 的 外 部 人 员 提供 信息 。 创 建 这 
些 服务 是 用 于 调试 和 系统 管理 目的 的 ， 但 是 攻击 者 可 以 使 用 这 些 服务 来 接收 关于 系统 的 有 价 
值 信息 。finger 命 令 可 用 来 在 一 个 远程 系统 上 查找 关于 一 个 账号 的 信息 。rwho 命 令 可 用 来 查看 
一 个 外 部 系统 上 登录 了 哪些 用 户 。 例 如 ， 可 以 使 用 rwho 来 检查 系统 管理 员 是 否 登录 到 了 系统 
上 。 如 果 登 录 上 了 ， 那么 攻击 者 可 以 稍 候 再 来 。 推 荐 禁用 所 有 这 些 服务 。 


11.1.11 UUCP 服 务 


UUCP 代 表 UNIX-to-UNIX Copy (拷贝 ) 或 者 UNIX-to-UNIX Communication (通信 ) 协 
议 ， 它 是 用 来 在 远程 系统 上 传输 文件 和 执行 命令 的 一 个 软件 子 系统 。UUCP 也 向 用 户 提供 了 一 
套 UNIX 命 令 的 子 集 。UUCP 可 以 用 在 品行 线路 、modem 或 者 X.25 网 络 上 。 旧 版 本 UUCP 的 安 
全 能 力 有 限 ， 很 容易 利用 其 操作 顺序 来 进行 攻击 。HDB ( HoneyDanBer ) 是 UUCP 的 一 个 改进 
版 本 ， 它 提供 了 增强 的 安全 性 。HDB 具 有 一 些 控制 以 防止 顺序 攻击 。 

UUCP 的 目录 结构 必须 要 仔细 实现 ， 并 且 其 控制 文件 必须 要 正确 地 保证 安全 。 例 如 ， 
fusr/lib/uucp/Systems 文 件 包 含 了 用 于 远程 UUCP 系 统 的 密码 。 如 果 安 全 措施 不 到 位 的 话 ， 有 可 
能 会 导致 这 些 系 统 这 到 破坏 。UUCP 是 20 世 纪 80 年 代 的 UNIX 通 信 标 准 ， 但 是 随 着 串 行 TCP/IP 
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服务 〈 使 用 SLIP 或 者 PPP 协 议 ) 的 流行 ， 它 的 使 用 已 经 日 趋 减 少 了 。 如 果 不 需要 的 话 ， 请 禁 
用 UUCP。 
11.1.12 ”网络 文件 系统 


网 络 文件 系统 ( Network File System，NFS ) 允许 多 个 系统 在 网 络 上 共享 磁盘 和 CD-ROM 
文件 系统 ， 如 图 11-5 所 示 。 . 












服务 器 导出 /exportl 
磁盘 驱动 器 


客户 机 把 服务 器 导出 
的 驱动 器 挂 接 在 目录 
Jdisk1 下 


对 于 客户 机 来 说 ， 
/disk1 是 一 个 本 地 
磁盘 


图 11-5 网 络 文件 共享 


通过 NFS， 本 地 客户 机 系统 可 以 透明 地 把 其 他 系统 的 资源 加 载 到 本 地 目录 树 中 。NFS 把 远 
程 文件 集成 进 本 地 目录 树 中 不 再 需要 显 式 的 文件 传输 。 客 户 机 连接 到 服务 器 上 以 后 ， 用 户 对 
服务 器 上 文件 和 目录 的 访问 就 是 完全 透明 的 。NFS 的 使 用 并 不 仅 限于 UNIX， DOS 和 其 他 操作 
系统 也 支持 。 | 

连 网 机 器 可 以 是 服务 器 或 客户 机 ， 也 可 以 二 者 都 是 。NFS 服 务 器 为 客户 机 系统 提供 了 文 
件 共 享 。NES 服 务 器 通常 都 是 UNIX 机 器 (但 是 MVS、OS/2 以 及 其 他 OS 也 是 可 以 的 )， 而 客户 
机 可 以 是 基于 UNIX、OS/2 或 者 DOS 的 系统 。 服 务 器 是 被 动 的 ， 它 们 等 待 客户 机 请 求 服务 。 它 
们 也 需要 客户 机 维护 状态 。 换 句 话 说， 维护 其 在 通信 过 程 中 的 位 置 是 客户 机 的 责任 。 尽 管 这 
样 会 有 客户 机 可 以 不 受 服务 器 重启 影响 的 好 处 ， 但 是 它 带 来 了 安全 问题 。 前 面 提 到 过 ， 如 果 
客户 机 能 伪造 一 个 当前 “状态 ”的 表示 ， 那 么 NFS 服 务 器 可 能 会 相信 它们 并 允许 其 对 目录 和 和 
文件 进行 未 经 授权 的 访问 。 

使 用 NFS ， 必 须要 解决 下 面 5 个 问题 : 

1) 应 该 导出 什么 系统 资源 ? 导出 给 谁 ? 

2) 超级 用 户 访问 特权 应 该 扩展 给 客户 机 系统 吗 ? 

3) 作为 客户 机 ， 应 该 允许 什么 类 型 的 文件 进入 系统 ? 

4) 如 何 信任 从 一 个 NFS 服 务 器 上 下 载 的 文件 的 完整 性 ? 
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5) 对 NFS 的 认证 和 授权 机 制 应 该 信任 到 什么 程度 ? 

在 下 面 几 段 中 ,我 们 将 探讨 这 些 问题 。 

NFS 服 务 器 指定 了 客户 机 可 用 的 资源 。 最 安全 的 方法 是 只 导出 客户 机 系统 绝对 需要 的 那 
些 资源 和 功能 。 如 果 导 出 服务 器 系统 上 的 整个 目录 树 ， 那 么 就 有 可 能 会 破坏 系统 上 的 二 进 制 
程序 ， 并 且 也 可 以 访问 服务 器 的 密码 文件 。 只 有 服务 器 上 目录 树 的 一 个 有 限 子 集 才 应 该 导出 。 
并 且 不 管 什么 时 候 ， 服 务 器 都 应 该 使 用 “只 读 ” 形 式 导 出 文件 系统 。 这 样 ， 客 户 机 系统 就 不 
能 修改 服务 器 导出 的 磁盘 驱动 器 。 

NEFS 服 务 器 有 一 个 统一 导出 文件 系统 的 选项 。 该 选项 会 “授权 ”网 络 上 的 任何 系统 都 可 
以 访问 导出 的 文件 系统 。 一 般 来 说 ， 该 选项 是 十 分 不 安全 的 。 在 大 多 数 情况 下 ，NFS 服 务 
器 应 该 直接 并 简明 地 指定 它 的 客户 机 系统 。 一 个 可 能 的 例外 情况 是 以 “只 读 ” 形 式 导 出 文 
件 系统 。 

NFS 服 务 器 使 用 一 个 基于 客户 机 名 的 访问 控制 机 制 。 在 这 种 情况 下 ， 一 个 恶意 客户 机 可 
以 通过 改变 它 的 系统 名 和 IP 地 址 来 伪装 成 一 个 授权 的 客户 机 或 者 服务 器 。NFS 没 有 任何 内 在 
的 控制 来 对 付 伪装 的 客户 机 或 服务 器 。 恶 意 的 客户 机 或 服务 器 可 以 伪装 成 一 个 合法 的 机 器 ， 
并 绕 过 NFS 的 访问 控制 机 制 。 

有 关 认 证 的 第 二 个 问题 是 NFS 服 务 器 和 客户 机 互相 默认 信任 对 方 的 ID。 许 多 操作 系统 命 
令 和 文件 是 由 bin 的 账号 所 拥有 的 。 如 果 客户 机 上 的 用 户 可 以 获得 一 个 特权 用 户 ID， 例 如 账 
号 bin 的 用 户 ID (正常 情况 下 用 户 ID 号 是 2 )， 那 么 服务 器 就 会 为 其 授予 对 操作 系统 二 进 制程 
序 的 访问 权 。 实 际 上 ， 服 务 器 对 客户 机 的 用 户 ID 应 该 总 是 表示 怀疑 ， 并 且 永 远 不 信任 其 认 
证 的 可 靠 性 。 不 管 什么 时 候 ， 服 务 器 应 该 只 导出 只 读 文 件 系统 ， 或 者 限制 用 于 导出 的 目录 和 
文件 。 

NFS 可 以 把 等 效 性 扩展 到 客户 机 系统 上 的 超级 用 户 。 这 明显 是 一 个 安全 问题 ， 即 使 你 明 
确信 任 客户 机 系统 上 的 超级 用 户 。 对 客户 机 的 破坏 可 能 会 牵连 上 服务 器 (除非 服务 器 上 的 文 
件 系统 是 只 读 导出 的 )。 可 选 的 “-root=” 导 出 参数 能 够 扩展 超级 用 户 等 效 性 。 如 果 超 级 用 户 
等 效 性 没有 扩展 ,那么 客户 机 系统 上 的 超级 用 户 会 指派 一 个 令 牌 用 户 ID〈 例如 以 -2 作为 用 户 
了 D 号 。) . 

. 对 于 客户 机 系统 来 说 ， 主 要 的 安全 考虑 是 防止 从 服务 器 上 导 人 任何 安全 性 麻烦 。 如 果 人 驳 
许 服务 器 上 的 用 户 访问 客户 机 的 设备 ， 那 么 来 自 服务 器 的 设备 文件 可 能 会 带 来 安全 同 题 。 前 
面 提 到 过 ，SUID 程 序 ， 特 别 是 根 SUID 程 序 ， 可 能 会 导致 安全 问题 。 如 果 用 户 能 够 从 根 SUID 
程序 中 创建 shell， 那么 他 就 会 成 为 超级 用 户 。NFS 可 以 禁用 服务 器 的 设备 文件 和 SUID 程 序 ， 
在 客户 机 上 实现 该 选项 是 非常 明智 的 。 

前 面 提 到 过 ，NFS 服 务 器 是 无 状态 的 ， 这 是 因为 状态 是 由 客户 机 所 保持 的 。 客 户 机 保持 
一 个 NFS 文 件 句柄 ， 该 文件 句柄 维护 了 客户 机 对 NFS 服 务 器 的 访问 权限 。 这 种 方法 的 脆 缮 性 在 
于 ， 服 务 器 不 会 对 来 自 客户 机 的 请 求 进行 认证 ， 而 是 相信 文件 句柄 的 内 容 表明 了 客户 机 是 可 
信 的 。 在 NFS 的 早期 版 本 中 ， 猜 测 文件 句柄 的 组 成 是 很 容易 的 ， 并 且 可 以 使 用 一 个 伪造 的 文 
件 句 柄 来 向 服务 器 提出 请 求 。 

_ 个 伪造 的 NFS 服 务 器 能 够 截获 NFS 客 户 机 发 出 的 文件 请 求 ， 并 以 比 合法 的 服务 器 更 快 的 
速度 做 出 响应 。 因 为 客户 机 没有 任何 办 法 来 确认 文件 的 来 源 或 完整 性 ， 所 以 冒名 顶 蔡 者 就 可 
以 下 载 他 们 所 要 的 任何 文件 。 如 果 所 请 求 的 文件 是 可 执行 程序 ， 这 点 尤为 危险 。 
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11.1.13 网 络 信息 服务 


UNIX 系 统 需 要 很 多 数据 库 来 实现 系统 管理 和 连 网 。 文 件 /etc/passwd 和 和 /etc/group 是 用 于 用 
户 认证 和 授权 的 。/etc/hosts 或 其 等 价 方法 是 用 于 把 系统 名 映射 到 IP 地 址 的 。 由 于 缺乏 集中 的 
存储 ， 所 以 每 个 数据 库 和 值 都 必须 要 由 每 个 机 器 进行 本 地 维护 。 维 护 这 些 数据 库 在 网 络 上 的 
一 致 性 是 一 个 耗 时 的 管理 任务 。 独 立 数据 库 值 变 得 不 同步 的 可 能 性 是 非常 高 的 。 例 如 ， 如 果 
用 户 rdempsey 在 系统 A 上 分 派 了 用 户 ID 号 209， 用 户 gbruce 在 系统 B 上 分 配 了 同样 的 ID 号 ， 那 
么 当 这 两 个 系统 在 网 络 上 交互 时 ， 谁 才 是 具有 用 户 ID 209 的 用 户 呢 ? 答案 是 两 个 用 户 都 是 ! 
任何 使 用 用 户 ID 的 网 络 服务 都 不 能 区 分 用 户 gbruce 和 rdempsey。 图 11-6 提 供 了 NIS 映 射 的 一 个 
概 图 。 








从 NIS 映 射 中 得 


到 值 
用 户 定义 
的 映射 


图 11-6 NIS 概 图 


网 络 信 息 服 务 (Network Information Service ，NIS ) 是 一 个 分 布 式 的 查询 服务 ， 它 用 于 向 
连 网 客户 机 提供 一 致 的 数据 库 值 。 开 始 它 被 称 做 黄页 ( Yellow Pages ) ( 但 是 这 侵犯 了 英国 电 
讯 的 版 权 )。NIS 广 泛 用 来 解决 系统 管理 数据 库 值 的 同步 问题 。NIS 人 允许 一 个 NIS 主 服务 器 (每 
个 NIS 域 内 一 个 ) 把 它 的 表 ( 称 作 映射 ) 中 的 数据 库 值 传送 到 第 二 个 NIS 辅 服务 器 。 辅 服务 器 
用 来 在 NIS 主 服务 器 出 现 故障 的 时 候 提供 宛 余 。NIS 客 户 机 把 它们 自己 连接 ( 绑 定 ) 到 辅 服务 
器 上 以 得 到 所 需 的 数据 库 值 。 可 被 映射 的 数据 库 没有 数量 或 者 组 成 限制 ( 只 要 是 ASCII 普 通 文 
件 就 可 以 )。NIS 管 理 员 可 以 创建 定制 的 NIS 映 射 。 

表 11-1 列 出 了 NIS 导 出 的 标准 数据 库 。 

表 11-1 标准 NIS 服 务 

一 

NIS 映 射 UNIX 数 据 库 上 的 


密码 /etc/passwd 认证 并 分 派 用 户 ID 
组 letc/group 保存 组 DD 号 和 名 字 
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( 续 ) 
NIS 映 射 UNIX 数 据 库 目 的 
主机 /etc/hosts 把 主机 名 映射 到 IP 地 址 
网 络 组 /etc/netgroup 分 派 用 户 到 NIS 组 
/etc/rpe /etc/rpe 提供 已 知 RPC 服 务 的 定义 
协议 jetc/protocol 提供 网 络 协 议 的 定义 
服务 /etc/services 定义 已 知 的 连 网 服务 和 分 派 端口 


有 多 fms -一 一 

NIS 也 提供 了 一 个 本 地 查询 服务 。 这 用 做 对 提供 输出 映射 的 一 个 完整 视图 的 替代 。 如 果 
NIS 已 经 实现 了 ， 并 且 在 本 地 /etc/passwd 文 件 中 的 用 户 ID 前 出 现 一 个 加 号 (“+”)， 那 么 登录 程 
序 将 从 NIS 密 码 映射 中 解析 用 户 ITD 、 密 码 以 及 用 户 ID 号 ， 而 不 是 使 用 本 地 /etc/passwd 文 件 。 其 
效果 相当 于 逻辑 上 用 NIS 主 密码 映射 覆盖 了 本 地 /etc/passwd 文 件 。 

但 是 为 了 保护 特定 的 账号 ，NIS 允 许 选 定 NIS 查 询 的 本 地 解析 。 只 有 /etc/passwd 数 据 库 里 
的 那些 在 第 一 列 中 包含 “+” 的 账号 才 从 NIS 服 务 器 上 解析 。 所 有 其 他 账号 仍 使 用 本 地 
/etc/passwd 文 件 。 这 种 体系 结构 的 好 处 在 于 它 能 够 在 本 地 基础 上 维护 具有 高 级 特权 的 账号 ， 
如 超级 用 户 和 数据 库 管理 员 。 即 使 NIS 密 码 映射 用 于 普通 用 户 ， 超 级 用 户 可 以 (必须 ) 有 一 个 
每 台 机 器 惟一 的 密码 。NIS 也 允许 全 局 “万 能 ” 值 的 使 用 。 如 果实 现 了 “万 能 值 ， 那么 任何 
不 存在 于 本 地 /etc/passwd 文 件 中 的 账号 都 将 从 NIS 服 务 器 上 解析 。 “万 能 ” 值 的 实现 方法 是 在 
本 地 /etc/passwd 文 件 中 添加 形 如 “+:0::::::::” 的 项 。 如 果 账 号 是 有 效 的 并 且 也 提供 了 正确 的 密 
码 ， 那 么 用 户 就 登录 到 系统 上 ， 即 使 系统 上 不 存在 本 地 账号 。 如 果 HOME 目 录 不 存在 ， 那 么 
有 些 版 本 的 UNIX 会 给 出 错误 信息 提示 。 

NIS 网 络 组 是 用 户 或 者 机 器 的 一 个 逻辑 分 组 。 这 提供 了 一 个 系统 管理 工具 ( 提供 了 方便 ) 
而 不 是 实际 增强 了 安全 性 。 网 络 组 用 来 使 用 一 个 公共 的 网 络 组 名 来 对 用 户 进行 分 组 ， 而 不 是 
为 数据 库 中 的 每 个 独立 用 户 要 求 一 个 项 。 网 络 组 可 用 来 限制 独立 个 体 对 NIS 映 射 的 视图 。 然 而 
必须 指出 ， 网 络 组 的 实现 已 经 证 明 对 PC-NFS NISCAT 命 令 没有 任何 作用 (该 命令 为 个 人 计算 
机 用 户 提供 了 完整 的 NIS 映 射 )。 

NIS 提 供 了 能 够 列 出 NIS 映 射 的 命令 。 这 些 映 射 可 以 为 希望 破坏 安全 性 的 人 提供 信息 。 特 
别 是 ，ypcat 命 令 ( 称 做 NFS PC 版 本 上 的 NISCAT ) 可 以 用 来 得 到 密码 数据 库 的 一 份 拷 贝 。 尽 
管 所 有 的 密码 都 是 加 密 过 的 ， 但 是 密码 破解 技术 能 够 让 它们 现 出 原形 。 标准 NIS 不 为 C2 隐藏 
密码 文件 提供 支持 。 

NIS 的 使 用 不 仅 为 系统 管理 员 带 来 一 些 问题 《特别 是 ， 密码 和 用 户 ID 值 的 同步 )， 它 也 带 
来 了 很 多 安全 问题 。NIS 可 能 会 为 组 织带 来 密码 泄漏 问题 。 如 果 NIS 传 递 的 密码 成 为 公开 的 ， 
那么 恶意 用 户 就 能 够 访问 大 量 的 系统 ， 而 在 非 集中 式 的 密码 管理 下 这 些 系 统 本 是 他 们 所 不 能 
访问 的 。 如 果 通 过 一 个 NIS 映 射 系统 管理 员 或 者 超级 用 户 账号 公开 了 ， 那么 问题 就 更 加 严重 了 。 
在 这 种 情况 下 ， 用 户 就 可 以 访问 该 NIS 域 内 的 所 有 机 器 。 

NIS 人 允许 NIS 主 服务 器 在 系统 中 被 辅 服务 器 所 复制 。 客 户 机 可 以 直接 选择 绑 定 到 一 个 NIS 
辅 服务 器 ， 也 可 以 连接 到 响应 绑 定 请 求 的 第 一 个 辅 服务 器 上 。 第 一 种 做 法 有 可 能 会 使 客户 机 
遇 到 单 点 故障 问题 ， 这 有 违 使 用 辅 服务 器 的 目的 。 大 多 数 客户 机 选择 绑 定 到 第 一 个 可 用 的 畏 
服务 器 。 客 户 机 不 对 辅 服务 器 进行 任何 认证 。 如 果 将 一 个 恶意 的 辅 服务 器 引入 到 网 络 中 ， 那 
么 用 于 每 个 NIS 账 号 的 登录 控制 就 值得 怀疑 。 仔细 实现 主 服务 器 和 辅 服务 器 系统 是 非常 有 必要 
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的 。 如 果 NIS 主 服务 器 能 被 破坏 ， 那 么 密码 就 有 可 能 会 被 修改 。 

从 客户 机 的 角度 上 看 ， 最 后 一 个 有 关 NIS 使 用 的 考虑 事项 是 ，NIS 通 常 配置 成 为 NIS 域 内 
的 每 个 系统 提供 其 所 要 求 的 最 丰富 的 网 络 定义 。NIS 会 为 UNIX 系 统 所 使 用 的 服务 、RPC 和 协 
议 提供 一 个 中 心 定 义 。 对 于 希望 具有 更 严格 网 络 控制 的 本 地 系统 管理 员 来 说 ，NIS 管 理 员 所 人 允 
许 的 连 网 服务 可 能 太 丰 富 了 。 

前 面 所 提 到 的 许多 NIS 问 题 ， 如 辅 服务 器 的 认证 以 及 对 隐藏 密码 文件 的 支持 ， 都 由 NIS 的 
一 个 改进 版 本 一 一 NIS+ 所 解决 了 。NIS+ 使 用 了 安全 RPC 机 制 来 认证 对 NIS 的 访问 和 授权 用 户 
动作 。 不 幸 的 是 ， 安 全 RPC 和 NIS+ 并 不 是 在 所 有 版 本 的 UNIX 上 都 可 用 。 


11.1.14 域名 系统 


在 TCP/IP 的 世界 中 ， 系 统 名 会 映射 成 作 因特网 协议 (Internet Protocol，IP ) 的 特殊 地 址 。 
UNIX 系 统 可 以 以 很 多 不 同 的 方式 来 解析 这 种 映射 包括 使 用 一 个 本 地 /etc/hosts 文 件 和 网 络 信 
息 服 务 (Network Information Service，NIS )。 第 三 种 方法 是 使 用 域名 系统 (Domain Name 
System，DNS )。 该 协议 也 可 以 用 它 的 伯克利 名 字 一 一 Bind 引 用 。DNS 的 使 用 有 很 多 信任 问题 ， 
这 包括 DNS 服务 器 的 假冒 、 命 名 树 选 定 部 分 的 失效 以 及 暴露 DNS 提供 的 内 部 网 络 的 信息 。 


11.1.15 网络 时 间 协 议 


网 络 时 间 协 议 (Network Time Protocol，NTP ) 广 泛 用 来 在 多 个 分 布 的 计算 机 间 为 一 个 整 
体 组 织 提供 一 个 一 致 的 时 间 概 念 。NTP 人 允许 客户 机 系统 可 以 从 很 多 源 上 同步 时 间 ( 包 插 日 时 和 
秒 )。 为 了 宛 余 ，NTP 使 用 了 第 二 个 服务 器 一 一 它 从 主 服务 器 更 新 时 间 。 客户 机 得 到 时 间 的 方 
式 是 不 断 地 发 送 正确 的 时 间 值 ( 探 询 )， 或 者 通过 远程 过 程 调用 来 向 服务 器 发 送 连续 的 查询 。 

出 于 很 多 目的 ， 客 户 机 系统 需要 依赖 一 个 严谨 的 和 精确 的 时 间 定 义 。 这 包括 为 访问 控制 
和 多 系统 事务 的 同步 化 建立 准确 的 审计 跟踪 。 对 时 间 服 务 提 供 者 的 大 多 数 攻击 通常 都 是 服务 
拒绝 攻击 。 但 是 更 复杂 的 攻击 可 以 使 用 精确 时 间 的 中 断 来 辅助 破坏 一 个 审计 跟踪 或 者 克服 时 
间 敏 感 的 安全 控制 。 


11.2 窃贼 的 工具 


有 必要 指出 ， 你 的 系统 可 能 并 不 是 人 侵 的 目标 ， 而 仅仅 是 后 续 攻 击 的 垫 脚 石 。 人 侵 者 最 
初 可 能 只 是 想 把 你 的 系统 用 做 一 个 安全 仓库 ， 而 不 是 想 搞 什 么 破坏 。 如 果 和 人 侵 者 的 行为 很 明 
显 ， 那 么 本 地 管理 员 会 采取 对 策 让 其 住 手 。 在 这 种 情况 下 ， 人 侵 者 的 主要 目标 是 隐蔽 。 通 党 
情况 fr 下 ， 黑 客 并 不 想 被 发 现 。 他 们 会 采取 精心 的 步骤 以 防止 系统 管理 员 发 现 他 们 的 行为 。 他 
们 一 般 会 小 心 谨慎 ， 从 而 不 进行 会 引起 注意 的 行为 。 

攻击 者 可 能 需要 磁盘 存储 来 存放 工具 和 相关 的 违禁 内 容 ， 并 且 这 些 东 西 必须 要 隐藏 起 来 
以 防 系统 管理 员 看 见 。 他 们 使 用 那些 用 列举 文件 系统 难以 发 现 的 空间 或 特殊 字符 来 建立 目录 。 
工具 的 文件 名 会 从 原始 名 字 改 成 其 他 不 容易 注意 到 的 名 字 。 日 志文 件 和 数据 会 归档 和 压缩。 
作为 附加 的 安全 措施 ， 加 密 也 广泛 使 用 ， 这 会 使 得 系统 管理 员 很 难 发 现 隐藏 的 目录 。 如 果 系 
统 中 没有 加 密 工 具 ， 那 么 这 些 目录 就 会 转移 并 隐藏 起 来 。 这 种 情况 在 美国 之 外 是 很 常见 的 ， 
因为 在 美国 境外 操作 系统 一 般 不 包含 DES 数 据 加 密 工具 。 磁 盘 挂 接点 〈 挂 接 外 部 文件 系统 的 
本 地 目录 ) 可 以 用 来 隐藏 东西 。 如 果 挂 接 了 外 部 文件 系统 ， 那 么 存储 在 挂 接点 下 的 文件 不 会 
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发 现 。 但 是 当 文 件 系统 印 载 的 时 候 ， 那 些 文件 就 可 用 了 。 记 录入 侵 者 行为 的 日 志文 件 ， 如 
wtmp、syslog 或 者 shell 历 史记 录 文 件 ， 可 以 修改 或 删除 。 


每 个 窃 贱 都 有 其 特殊 需要 。 他 们 需要 如 垫 片 、 接 棍 以 及 锁 之 类 的 工具 来 辅助 他 们 的 
非法 入 侵 。 他 们 需要 安全 的 仓库 来 存放 这 些 工具 和 他 们 的 赃 品 。 黑 客 都 有 同样 的 基本 需 


要 。 他 们 需要 自动 工具 来 检查 系统 的 脆弱 点 所 在 。 他 们 需要 具有 存储 数据 ( 如 日 志文 件 ) 
以 进行 后 续 检 查 的 能 力 。 他 们 也 需要 有 安全 的 地 方 来 存放 他 们 的 工具 和 数据 。 





入 侵 者 的 工具 箱 中 可 能 包括 很 多 东西 。 自 动 检查 UNIX 系 统 安全 性 的 脚本 是 最 普通 的 工具 。 
SUID 程 序 和 设备 文件 、 密 码 破解 器 、 最 爱 的 编译 器 、 网 络 探测 器 以 及 调试 器 都 是 必 备 的 工具 。 
黑客 们 也 对 诱骗 信息 非常 感 兴趣 。 他 们 创建 网 络 流量 的 日 志文 件 ， 并 在 其 中 扫描 密码 及 其 他 
有 趣 的 信息 。 他 们 会 拷贝 密码 文件 ， 并 且 研 究 如 何 列举 远程 过 程 调用 服务 。 如 果 系 统 中 出 现 
了 包含 密码 列表 、 服 务 器 信息 或 者 网 络 行为 日 志 的 文件 ， 那 么 这 表明 可 能 有 非法 行为 。 

设备 文件 是 操作 系统 和 用 户 的 中 介 。 如 果 发 现 系统 进行 了 配置 以 记录 所 有 的 网 络 流量 
( 称 作 混杂 模式 )， 那 么 这 表明 系统 可 能 受到 了 网 络 探查 攻击 。 如 果 设 备 文件 ， 特 别 是 内 存 或 
者 LAN 设 备 文件 ， 有 了 不 正确 的 许可 ， 或 者 位 于 正常 的 /dev 目 录 之 外 ， 那 么 这 也 表明 可 能 有 
非法 行为 。 


11.3 结论 


新 购买 的 UNIX 系 统一 般 默认 启用 了 很 多 网 络 服务 ， 其 中 每 种 服务 都 为 控制 环境 带 来 了 复 
杂 性 。 如 果 某 项 服务 是 不 需要 的 ， 请 禁用 它 。UNIX 网 络 服务 也 提供 了 很 多 认证 和 访问 控制 机 
制 ， 其 中 包括 统一 访问 和 主机 等 效 性 。 但 是 最 大 的 局 限 性 是 在 TCP/IP 传 输 机 制 中 。 因 为 人 侵 
者 有 能 力 查看 或 者 篡改 包 ， 所 以 需要 使 用 新 的 方法 来 进行 加 密 ， 从 而 保证 传输 机 制 的 安全 性 。 

现在 已 经 探讨 了 包括 UNIX 网 络 服务 在 内 的 很 多 UNIX 高 级 专题 ， 并 且 分 析 了 它们 所 带 来 
的 安全 风险 。 在 第 12 章 中 ,将 着 重 介绍 一 些 针 对 这 些 问题 的 解决 方案 。 


第 12 章 UNIX 解决 方案 





在 前 面 两 章 中 ， 我们 已 经 详细 探讨 了 一 些 UNIX 安 全 问题 。 这 些 问题 都 有 相关 的 解决 方案 ， 本 
章 我 们 将 对 其 中 一 些 方案 进行 讨论 。 在 开始 讨论 之 前 ， 有 必要 先 指出 使 用 安全 工具 的 几 点 内 容 。 


在 本 章 中 ， 我 们 将 探讨 各 种 捐赠 的 和 商业 的 软件 解决 方案 。 这 些 方案 中 的 大 多 数 者 
有 关于 其 使 用 的 许可 和 版 权 声 明 。 他 们 不 应 该 看 做 是 免费 的 。 在 使 用 一 个 捐赠 的 软件 方 
案 时 ， 读 者 应 该 特别 小 心 以 保证 不 会 违背 其 使 用 规定 。 


第 一 点 ， 尽 管 一 个 方案 可 能 并 不 完美 ， 但 是 “ 歼 胜 于 无 "， 一 个 起 码 的 方案 总 比 根本 没有 
强 。 并 不 能 因为 没有 完美 的 方案 就 可 以 什么 也 不 做 。 第 二 点 ， 网 络 上 最 脆弱 的 系统 是 最 有 可 
能 被 破坏 的 系统 ， 然 后 攻击 者 可 以 利用 它 再 破坏 其 他 更 重要 的 系统 。 因 此 ， 正 确 的 做 法 是 全 
面 地 而 不 是 有 选择 地 部 署 解决 方案 ， 从 而 提高 整个 组 织 的 整体 安全 水 平 。 第 三 点 ,那些 希望 
破坏 系统 的 人 会 使 用 自动 工具 ， 所 以 你 应 该 具有 自动 响应 的 能 力 。 没 有 任何 一 项 技术 能 够 独 
立 解决 所 有 的 问题 ， 所 以 需要 把 多 种 技术 结合 起 来 使 用 。 最 后 ， 技 术 不 能 代替 人 的 智慧 。 即 
使 找到 了 解决 方案 ， 有 关 环 境 的 知识 还 是 需要 的 。 

策略 和 指导 原则 

一 个 定义 良好 的 策略 及 其 指导 原则 为 解决 方案 的 构建 提供 了 正确 的 基础 。 如 果 没有 针对 
UNIX 环 境 的 策略 和 指导 原则 ， 那 么 强烈 推荐 你 开发 一 个 。 
物理 控制 
解决 物理 安全 问题 的 方案 很 明显 ， 即 无 论 何 时 ， 请 把 UNIX 机 器 放 在 一 个 物理 安全 的 环境 
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中 。 敏感 数据 只 应 该 存储 在 具有 物理 安全 性 的 计算 机 上 ， 除 非 有 强大 的 补偿 控制 。 谁 都 知道 ， 
一 个 价值 几 十 万 美元 的 计算 机 数据 库 服务 器 是 绝对 需要 保证 安全 的 。 无 论 什 么 时 候 ， 计 算 机 

系统 都 应 该 放 在 一 个 访问 受 控 的 环境 中 ， 例 如 一 个 专门 的 机 房 。 包 含 敏感 数据 或 者 需要 高 级 
信任 的 机 器 必须 要 重新 放 在 物理 安全 的 环境 中 。 虽 然 不 明显 ， 但 备份 介质 和 网 络 设备 ， 如 路 
由 器 或 者 网 桥 ， 也 是 同样 重要 的 。 备 份 介质 和 存档 应 该 在 物理 上 同 计算 系统 隔离 开 ， 从 而 防 
止 在 出 现 灾难 的 时 候 计算 系统 和 备份 介质 同时 丢失 。 

厂商 也 已 经 认识 到 了 提高 对 计算 机 启动 过 程 的 控制 是 非常 必要 的 。 例 如 ， 惠 普 支 持 启动 
过 程 的 密码 控制 。 其 他 厂商 也 对 问题 应 用 相似 的 方法 。 尽 管 总 体 可 车 性 不 能 依赖 于 内 部 控制 ， 
但 是 这 确实 是 对 过 去 实现 的 一 个 改进 。 

网 络 设计 

在 第 7 章 中 ,讨论 了 在 网 络 中 建立 安全 性 需要 使 用 的 各 种 设计 技术 。 例 如 ， 探 讨 了 使 用 路 
由 器 或 网 桥 来 构建 可 信子 网 ， 从 而 防止 未 经 授权 的 流量 访问 子 网 。UNIX 网 络 服务 也 可 以 利用 
可 信子 网 的 好 处 。 

例如 , 一 个 使 用 X-Windows 的 UNIX 开 发 工作 组 可 以 使 用 路 由 器 同 公司 的 互联 网 络 隔离 开 。 
X-Windows 流量 一 般 是 在 工作 组 本 地 的 ， 这 是 因为 使 用 X-Windows 来 交换 信息 在 同事 之 间 是 
最 常见 的 。 把 X-Windows 流量 局 部 化 比 把 其 公开 到 公共 网 络 上 具有 性 能 上 的 优势 。 在 许多 情 
况 下 ， 所 有 的 X-Windows 流量 可 以 隔离 到 局 部 工作 组 中 。 在 这 种 情况 下 ， 通过 在 工作 组 外 部 
禁用 义 -Windows 流 量 ， 安 全 性 和 信任 都 可 以 得 到 增强 。 这 防止 了 对 X- Windows 服 务 器 的 未 经 
授权 的 访问 和 探查 。 

认证 

UNIX 操 作 系统 使 用 密码 和 其 他 方法 ( 例如 网 络 地 址 ) 来 认证 用 户 。 按照 惯例 ， 密 码 应 该 

具有 一 些 特性 ， 从 而 保证 密码 机 制 的 安全 性 。 表 12-1 列 出 了 这 些 密码 特性 以 及 其 后 面 的 动机 。 
表 12-1 密码 特性 及 其 动机 


一 一 
特 性 动 机 

=” -一 一 一 
不 可 预测 性 普通 术语 是 很 容易 猜测 的 。 难 以 破解 的 密码 应 该 满足 最 小 长 度 要 求 ， 并 且 要 由 多 种 成 分 滥 杂 组 成 
定期 改变 ”密码 不 能 谁 都 知道 ， 如 果 密 码 公 开 了 ， 那 么 要 减少 知情 范围 
惟一 性 对 一 个 系统 上 密码 的 破坏 不 应 导致 对 其 他 系统 的 破坏 


捐赠 的 软件 ， 如 CrackLib， 可 以 用 来 防止 已 被 猜测 密码 的 使 用 。 许 多 版 本 的 UNIX 也 支持 
实施 一 个 密码 策略 ， 它 可 以 规定 可 接受 的 特性 。 系 统 生成 的 密码 是 难以 猜测 的 ， 并 且 禁 得 起 
破解 ， 许 多 系统 都 支持 该 功能 。 但 是 强迫 用 户 采用 难以 记忆 的 密码 只 会 让 他 们 把 密码 写 下 来 。 
我 们 经 常会 注意 到 ， 有 些 用 户 把 写 有 密码 的 “便签 ” 粘 在 计算 机 屏幕 上 ， 或 者 把 密码 草 写 在 
纸 片 上 。 为 了 获得 对 其 计算 机 账号 的 访问 ， 许 多 人 都 这 么 王 。 

隔离 的 数据 库 、 网 络 服务 器 以 及 多 种 不 同 操 作 系统 和 硬件 平台 的 使 用 需要 单独 的 认证 均 
术 。 这 种 单独 性 强迫 用 户 需要 记 住 、 维 护 用 于 不 同 应 用 程序 、 数 据 库 以 及 LAN 服 务 的 多 个 密 
码 。 如 果 使 用 了 密码 时 效 并 且 是 不 协调 的 ， 那么 用 户 只 能 使 用 同样 的 密码 或 者 记 住 每 个 独立 
的 密码 。 但 最 重要 的 是 ， 这 些 关 于 密码 的 看 似 惯例 的 建议 并 不 会 解决 对 密码 机 密 性 的 击 要 威 
胁 。 这 些 威胁 包括 密码 猜测 、 密 码 破解 以 及 密码 在 网 络 上 的 明文 传输 形式 。 现在 我 们 来 讨论 
针对 前 两 个 问题 的 解决 方案 ， 而 针对 最 后 一 个 问题 的 解决 方案 将 在 第 17 章 和 附录 B 中 介绍 。 
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针对 密码 猜测 问题 的 解决 方案 是 在 它 出 现 的 时 候 向 系统 管理 员 报警 。 当 UNIX 发 现 了 失败 
的 密码 的 时 候 ， 它 们 要 记录 在 一 个 本 地 审计 跟踪 中 。 审 计 跟 踪 可 以 检查 ， 并 且 如 果 发 现 了 一 
连 串 的 失败 密码 时 ， 系 统 会 产生 一 个 警报 。 审 计 跟 踪 的 使 用 和 动态 报警 将 在 本 章 和 下 一 章 中 
进行 讨论 。 

密码 破解 者 是 非常 非常 有 战斗 力 的 。 前 面 我 们 已 经 看 到 ， 密 码 破 解 器 使 用 加 密 过 的 、 但 
可 读 的 密码 字符 串 作 为 对 一 个 密码 破解 算法 的 输入 。 该 字符 串 会 同 字典 条 项 的 加 密 输 出 字符 
串 进 行 比较 。 我 们 已 经 使 用 超过 250 万 个 条 项 的 字典 进行 了 密码 破解 。 密 码 破 解 器 使 用 很 多 规 
则 或 算法 。 他 们 可 以 测试 大 小 写 敏感 性 ， 并 且 在 字典 条 项 中 插入 数字 或 者 特殊 字符 。 在 发 现 
密码 方面 ， 他 们 是 非常 厉害 的 。 尽 管 可 以 预防 密码 破解 器 使 用 ， 并 且 也 有 可 用 的 捐赠 软件 来 
探查 容易 猜测 的 密码 ， 但 是 对 于 密码 破解 的 真正 解决 方案 是 把 加 密 过 的 密码 字符 串 隐 藏 起 来 。 

C2 安 全 性 

作为 C2 可 信 系 统 ，C2 UNIX 系 统 提高 了 标准 UNIX 操 作 系统 的 认证 和 审计 能 力 。 一 个 C2 
可 信 系 统 设计 成 符合 由 美国 国防 部 制定 的 桔 皮 书 所 定义 的 C2 安 全 级 别 。 不 幸 的 是 ，C2 已 经 成 
为 用 于 UNIX 系 统 信任 和 安全 问题 的 万 能 药 。 必 须 认识 到 ，C2 的 实现 只 解决 了 必须 要 解决 的 很 
多 问题 中 的 少数 。 这 并 不 意味 着 C2 的 实现 是 一 个 坏 想法 它 是 非常 好 的 想法 )， 但 是 它 不 能 独 
自 解 决 安全 问题 。 

C2 可 信 系统 的 实现 基本 上 提供 了 两 个 好 处 。 密 码 文件 向 普通 用 户 隐藏 起 来 了 ， 这 能 防止 
密码 破解 。 并 且 ， 操 作 系统 调用 的 审计 启用 了 。 普 通用 户 不 能 读 取 加 密 过 的 密码 字符 串 。C2 
安全 性 要 求 所 有 的 加 密 密 码 字符 串 都 要 隐 莽 起来。 这些 加 密 过 的 密码 保存 在 一 个 位 于 一 个 安 
全 目录 ( 只 能 由 超级 用 户 读 ) 下 的 文件 中 ， 该 文件 通常 称 做 遮蔽 密码 文件 。 修 改 原始 密码 文 
件 以 反映 新 密码 文件 的 存在 ， 但 是 它 保留 了 大 多 数 的 基于 用 户 的 信息 。 大 多 数 工具 (但 不 是 
全 部 ) 都 支持 庶 珊 密码 文件 的 使 用 。 

C2 也 对 UNIX 操 作 系 统 生成 的 审计 跟踪 下 了 一 个 更 好 的 定义 。 选 定 的 用 户 组 和 系统 调用 可 
以 结合 起 来 以 建立 审计 跟踪 。 例 如 ， 审 计 可 以 限定 到 用 于 普通 用 户 和 超级 用 户 全 部 动作 的 安 
全 相关 系统 调用 。 审 计 跟 踪 保 存在 一 个 安全 的 目录 中 ， 普 通用 户 不 能 访问 该 目录 。 

分 布 式 系统 的 大 量 使 用 突出 了 对 使 用 公共 认证 的 需要 。 公 共 认 证 可 以 用 在 很 多 系统 和 环 
境 上 。 用 户 不 愿意 被 强迫 记 住 数 不 清 的 密码 。 解 决 方案 是 使 用 单一 登录 技术 ， 如 OSF/DCE 所 
采用 的 Kerberos 安 全 模型 (后 面 将 介绍 )。 

其 他 密码 问题 

前 面 我 们 已 经 探讨 了 密码 破解 和 猜测 问题 。 让 组 织 头疼 的 另 一 个 问题 是 用 户 和 服务 器 间 
的 密码 共享 到 底 是 不 是 一 个 安全 风险 。 即 使 加 密 了 ， 密码 也 有 可 能 在 去 往 服务 器 的 路 上 被 截 
获 和 重 放 。 许 多 组 织 正在 寻找 关于 共享 密码 认证 的 替代 方法 以 对 付 这 种 威胁 。 这 些 方法 包括 
一 次 密码 的 使 用 和 强大 的 认证 技术 ， 这 些 将 在 附录 中 进行 介绍 。 

表 12-2 总 结 了 针对 上 述 问题 的 解决 方案 。 


表 12-2 密码 问题 和 解决 方案 
一 


加 
猜测 系统 生成 的 密码 
当 发 现 猜 测 行为 时 报警 


破解 并 项 密码 文件 ( C2 ) 
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( 续 ) 
问题 解决 方案 
单一 登录 Kerberos 或 者 一 次 密码 
明文 密码 Kerberos 或 者 一 次 密码 
权力 委托 


UNIX 系 统管 理 任务 的 执行 需要 高 级 超级 用 户 特权 的 使 用 。 我 们 如 何 才能 安全 地 委托 超级 
用 户 的 权力 而 同时 不 会 使 普通 用 户 变 成 超级 用 户 呢 ? 幸运 的 是 ， 对 于 此 问题 ， 捐 赠 的 、 厂 商 
提供 的 以 及 独立 的 商业 解决 方案 都 存在 。 

捐赠 的 软件 ， 如 sudo 程 序 ， 可 以 用 来 控制 超级 用 户 访问 。sudo 人 允许 超级 用 户 把 高 级 权力 
委托 给 那些 需要 使 用 超级 用 户 特 权 的 人 。 它 允许 系统 管理 员 建 立 可 以 使 用 高 级 特权 运行 的 命 
令 和 程序 表 。 同 所 有 的 SUID 程 序 一 样 ，sudo 也 有 一 个 问题 ， 如 果 能 够 从 一 个 sudo 控 制 的 程序 
中 退出 并 进入 一 个 UNIX shell， 那 么 你 就 成 了 超级 用 户 。 

厂商 提供 的 系统 管理 软件 ， 如 惠普 的 系统 管理 管理 器 〈 System Administration Manager， 
SAM )， 为 权力 的 本 地 委托 提供 了 一 个 解决 方案 。SAM 用 来 执行 很 多 任务 ， 这 包括 用 户 管理 、 
资源 配置 以 及 网 络 服务 的 管理 。SAM 过 去 需要 超级 用 户 特 权 才能 执行 ， 但 是 HP-UX 10.0 提 供 
了 管理 任务 委托 的 功能 。 

PowerBroker 是 来 自 加 拿 大 卡尔 加 里 Freedman Sharp 公 司 的 一 个 商业 产品 ， 它 提供 了 安全 
委托 超级 用 户 权 力 的 功能 。PowerBroker 为 权力 委托 问题 提供 了 一 个 网 络 化 的 解决 方案 ， 并 且 
它 具 有 使 用 一 个 中 心 审 计 来 跟踪 超级 用 户 行为 的 功能 。Memco 软 件 公司 的 Security for Open 
Systems ( SeOS ) 软件 ( UNIX 版 ) 提供 了 一 个 替代 方法 来 限制 超级 用 户 权力 。 SeOS 使 用 一 个 
基于 访问 规则 的 数据 库 在 操作 系统 级 上 截获 安全 敏感 事件 。 该 软件 提供 了 一 个 积极 的 访问 控 
制 机 制 ， 该 机 制 能 标识 出 谁 具 有 系统 的 访问 权 ， 并 能 在 用 户 登录 后 马上 跟踪 用 户 行为 。SeOS 
实现 成 UNIX OS 的 一 部 分 但 是 它 不 改变 任何 二 进 制 文件 或 者 重新 建立 内 核 。 尽管 通常 已 降 
至 最 低 ， 但 截获 系统 调用 会 导致 系统 性 能 的 下 降 。 用 户 需要 对 整体 效果 进行 正确 地 分 析 。 

今天 市 场 上 有 很 多 可 用 的 集中 式 系统 管理 工具 ， 这 也 包括 备份 和 假 脱 机 解决 方案 在 内 。 
这 些 工具 也 为 超级 用 户 权力 的 安全 委托 提供 了 复杂 的 解决 方案 。 

访问 控制 

访问 控制 指 的 是 操作 系统 在 其 对 授权 用 户 或 进程 
的 控制 之 下 对 资源 访问 进行 限制 的 能 力 。 访 问 控 制 
通常 是 建立 在 图 12-1 所 示 的 一 个 或 多 个 方法 之 上 的 。 

在 UNIX 中 实行 访问 控制 的 标准 方法 是 使 用 文 
件 和 目录 许可 。 从 前 面 可 知 ，UNIX 使 用 用 户 ID 和 
组 ID 的 结合 来 授予 或 者 拒绝 对 资源 的 访问 权 。 
UNIX 也 可 以 配置 成 限制 对 选 定 设备 或 者 网 络 服务 
的 访问 。 例 如 ， 某 些 UNIX 系 统 上 的 /etc/securetty 文 
件 可 以 用 来 强制 从 系统 控制 台 进 行 登录 。 
/etc/ftpusers 文 件 可 以 用 来 拒绝 选 定 用 户 对 FTP 的 使 
用 。 这 是 防止 超级 用 户 使 用 FTP 的 最 常见 方法 。 密 
苏 里 州 的 圣 路 易 华盛顿 大 学 已 经 开发 了 捐赠 的 FTP 图 12-1 访问 控制 方法 
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守护 神 (WU-FTPD ) 程序 ， 该 软件 可 用 来 增强 FTP 的 安全 性 。 其 增强 之 处 包括 为 独立 用 户 建 
立 chroot 环 境 的 能 力 ， 这 同 匿 名 FTP 所 使 用 的 方法 类 似 。 同 时 也 提供 了 更 强大 的 访问 控制 。 

根据 系统 名 或 网 络 下 地 址 的 访问 控制 也 是 很 常见 的 。 例 如 ，NFS 提 供 的 资源 访问 就 是 由 系 
统 名 和 IP 地 址 控制 的 。HP-UX 操 作 系 统 支持 网 络 服务 的 访问 控制 ， 其 方法 是 通过 /usr/adm/ 
inetd.sec。 可 以 建立 过 滤 模 式 来 根据 服务 类 型 的 选择 性 访问 , 这 相当 于 一 个 软件 路 由 器 。 例 如 ， 
telnet 访 问 可 以 限定 到 选 定 的 地 址 ; FTP 可 以 配置 成 除了 那些 在 工作 组 子 网 内 的 用 户 以 外 其 他 
用 户 全 都 可 以 使 用 。 

基于 时 间 的 访问 控制 也 是 很 常见 的 。 一 般 的 基于 时 间 的 控制 可 以 限制 访问 只 能 在 正常 工 
作 时 间 内 进行 ， 并 且 在 一 段 无 交互 时 间 后 锁定 屏幕 。 因 特 网 上 许多 可 用 的 捐赠 软件 也 可 以 畏 
助 访问 控制 。 德 州 A&M 大 学 的 Drawbridge 软 件 提供 了 强大 的 过 证 功能 。 和 荷兰 的 Wietse Venema 
也 捐赠 了 TCP 包 装 器 ， 它 可 以 用 来 把 过 滤 访 问 控制 扩展 到 很 多 UNIX 网 络 服务 上 。 

完整 性 检查 

硬件 、 操 作 系统 和 应 用 程序 ， 当 使 用 完整 性 来 实现 的 时 候 ， 就 结合 在 一 起 形成 了 可 信 计 
算 基 础 (Trusted Computing Base，TCB ) 的 计算 环境 。 将 在 第 20 章 中 深入 探讨 这 个 概念 。 很 
明显 ， 如 果 未 经 授权 的 改变 能 够 作用 到 TCB 的 组 件 上 ，TCB 就 不 再 是 可 信和 的 了 。 我 们 已 经 看 
到 ， 计 算 基 础 可 能 包含 几 百 个 目录 和 几 千 个 文件 和 程序 。 如 何 保证 这 么 多 资源 的 完整 性 呢 ? 

第 一 步 是 通过 强大 的 控制 来 正确 地 保证 基础 的 安全 ， 并 检查 这 些 控制 (文件 和 目录 许可 ) 
仍旧 到 位 。 第 二 步 很 重要 ， 它 涉及 到 完整 性 检查 器 的 使 用 。 

完整 性 检查 器 是 建立 在 如 下 思想 上 的 。 在 操作 系统 和 应 用 程序 安装 完成 以 后 ， 可 信 计 算 
基础 的 一 个 快照 就 建立 起 来 。 该 快照 为 TCB 元 素 的 一 些 经 过 选择 的 特性 建立 了 一 个 数据 库 。 
过 一 段 时 间 后 ， 当 前 计算 基础 的 当前 特性 就 同 保存 的 特性 进行 比较 。 对 计算 基础 的 未 经 授权 
的 修改 会 成 为 一 个 “ 雪 地 里 的 脚印 ”"， 这 是 因为 它们 有 可 能 表明 系统 中 有 了 时间 炸 弹 或 者 特洛伊 
木马 程序 。 对 TCB 的 任何 不 清楚 的 改变 都 应 该 受到 怀疑 。 图 12-2 说 明了 如 何 用 一 个 外 部 CD- 
ROM 来 校 验 操作 系统 二 进 制 数据 的 完整 性 。 


系统 软件 同 已 知 的 安装 源 ( 例如 厂 
商 提 供 的 CD-ROM ) 进行 比较 


完整 性 检查 包括 
-拥有 关系 
-链接 计数 
-大 小 
-许可 位 
- 校 验 和 
-数字 签名 





带 有 操作 系统 拷贝 的 CD-ROM 





12-2 完整 性 检查 
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必须 认识 到 ， 完 整 性 检查 的 使 用 有 很 多 局 限 性 。 一 个 计算 基础 不 是 静态 不 变 的 ， 而 是 处 
在 一 个 不 断 变化 的 相对 稳定 状态 中 。 软 件 修正 〈 例 如 补丁 )、 应 用 程序 的 新 版 本 以 及 操作 系统 
的 升级 都 会 改变 TCB 的 特性 。 只 有 在 保存 计算 基础 特性 的 数据 库 是 可 信 的 情况 下 ， 完 整 性 检 
查 器 才 是 有 价值 的 。 如 果 该 数据 库 保 存在 一 个 基于 LAN 的 系统 上 ， 那 么 它 的 数据 就 有 可 能 会 
被 攻击 者 修改 ， 从 而 反映 出 计算 基础 修改 了 。 一 个 更 安全 的 方法 是 把 TCB 保 存在 可 移动 介质 
上 , 或 者 使 用 一 个 厂商 提供 的 CD-ROM。 

完整 性 检查 器 只 有 在 能 够 保护 它 自己 的 数据 库 的 情况 下 才 是 有 用 的 。 一 般 情况 下 ， 完 整 
性 检查 器 所 保存 的 特性 包括 拥有 关系 、 组 成 员 、 访 问 权限 (许可 位 )、 建 立 日 期 、 文 件 大 小 以 
及 一 个 校 验 和 。UNIX 系 统 上 常见 的 一 种 校 验 和 类 型 是 循环 元 余 检 查 〈Cyclic Redundancy 
Check，CRC )。CRC 校 验 和 相同 并 不 是 意味 着 完全 可 信 ， 这 是 因为 它们 是 建立 在 文件 之 特性 
的 基础 上 的 。 黑 客 可 以 使 用 复杂 的 技术 来 模仿 原始 文件 的 特性 ， 并 生成 一 个 伪造 的 、 但 却 与 
原 值 相同 的 校 验 和 ， 他 们 已 经 这 么 做 过 了 。 

一 个 更 安全 的 方法 涉及 到 使 用 复杂 加 密 技术 来 为 资源 (例如 一 个 文件 ) 生成 一 个 数字 签 
名 。 他 们 使 用 文件 中 的 真正 数据 作为 算法 的 输入 ， 因 此 对 输入 数据 内 容 的 任何 改变 ( 例如 二 
进 制 代码 修改 ) 都 会 检查 出 来 即使 很 小 )。 RSA 数 据 安全 公司 建议 使 用 MD5 校 验 和 作为 数据 
认证 标准 (在 因特网 RPC 1321 中 )。MD5 产 生 的 数字 签名 通常 认为 是 抗 伪造 的 。 我 们 将 在 第 
15 章 中 探讨 整个 加 密 技术 领域 ， 其 中 也 包括 数字 签名 在 内 。 

必须 要 实施 规定 以 保证 : 当 经 过 授权 的 改变 (如 补丁 或 者 版 本 更 新 ) 应 用 到 计算 基础 上 
时 ， 完 整 性 检查 器 的 数据 库 会 更 新 。 提 供 完 整 性 检查 的 方式 可 以 是 把 其 作为 其 他 安全 工具 
(例如 控制 监视 器 ) 的 一 部 分 ， 也 可 以 是 作为 一 个 单独 的 工具 。 一 个 非常 流行 的 用 于 进行 完整 
性 检查 的 工具 是 Tripwire。 

TRIPWIRE 

Tripwire 是 普度 大 学 的 Gene Kim 和 Gene Spafford 开 发 的 一 个 捐赠 软件 产品 。 该 软件 的 目标 
是 探查 对 计算 基础 的 未 经 授权 的 改变 。Tripwire 已 经 移植 到 了 很 多 不 同 的 环境 中 ， 并 且 它 还 提 
供 了 源 代码 。 该 软件 对 MD5 校 验 和 的 使 用 提供 了 可 选 的 支持 。 使 用 MD5 校 验 和 为 探查 伪造 的 
程序 提供 了 一 个 强大 的 功能 。 

脆弱 性 的 网 络 分 析 

一 类 特殊 的 控制 监视 器 ， 通 常 称 做 网 络 分 析 工 具 ， 可 以 用 来 对 UNIX 网 络 服务 的 脆弱 性 
(有 可 能 会 被 攻击 者 滥用 ) 进行 评估 。 这 类 工具 提供 了 环境 的 一 个 网 络 ( 相对 于 系统 来 说 ) 中 
心 视图 。 它 们 测试 UNIX 网 络 服务 在 一 套 已 知 的 脆弱 性 方面 的 强度 和 和 能力。 一 般 的 检查 包括 党 
试 获 得 对 X-Windows 管 理 器 的 控制 和 探查 UNIX sendmail 服 务 。 其 他 行为 包括 尝试 窃取 密码 文 
件 、 检 查 主机 等 效 性 以 及 非法 使 用 FTP。 

SATAN (Security Administrators Tool for Auditing Networking， 用 于 审计 网 络 的 安全 管理 
工具 ) 是 Dan Farmer 和 Weitse Venema 开 发 的 一 个 捐赠 软件 工具 ， 它 是 在 1995 年 4 月 5 号 发 布 在 
因特网 社区 上 的 。 该 工具 结合 使 用 了 shell 程 序 、 PERL 肢 本 以 及 二 进 制 代码 以 测验 几 个 已 知 的 
脆弱 性 。SATAN 也 有 一 个 非常 容易 使 用 的 GUI 界面 ， 它 同 许多 因特网 WEB 浏 览 器 所 使 用 的 界 
面 类 似 。SATAN 的 引入 带 来 了 大 量 的 争论 。 尽 管 SATAN 只 着 眼 于 已 知 的 脆弱 性 ， 但 是 由 于 其 
容易 使 用 的 特性 ， 这 类 软件 促进 了 黑客 行为 ， 这 引起 了 广泛 的 关注 。 
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12.1 控制 监视 器 


监视 软件 的 使 用 使 得 管理 员 可 以 定期 、 肯 定 地 确认 UNIX 控 制 的 存在 并 且 功 能 正常 。 这 类 
工具 的 主要 功能 是 保证 UNIX 系 统 的 “大 门 和 窗户 ”都 正确 地 锁 上 了 。 实 际 上 ， 它 们 定期 或 者 
临时 运行 批 任务 ， 这 些 批 任务 可 以 扫描 客户 文件 系统 以 查找 脆弱 的 文件 和 目录 许可 、 可 写 的 
系统 二 进 制程 序 、 网 络 服务 中 的 不 规则 型 等 等 。 然 后 生成 报告 来 警告 安全 或 者 系统 管理 员 系 
统 中 出 现 了 符合 标准 的 问题 或 者 其 他 破坏 行为 。 图 12-3 说 明了 控制 监视 器 的 工作 原理 。 


中 心 监视 站 对 网 络 中 的 客户 机 进行 
几 方 面 的 检查 


文件 和 目录 许可 
可 写 的 系统 资源 
用 户主 环境 
SUID 程 序 

设备 文件 

网 络 配置 
主机 等 效 性 

















图 12-3 控制 监视 器 


对 于 这 些 工具 来 说 ， 同 探查 一 致 性 的 能 力 一 样 重要 的 是 发 现 “ 雪 地 里 的 脚印 ”的 能 力 。 
对 安全 机 制 的 未 经 授权 的 改变 是 系统 被 破坏 的 明确 指示 。 控 制 监 视 器 有 能 力 探查 UNIX 系 统 中 
的 已 知 脆弱 性 ， 因 此 它们 可 以 起 到 报警 系统 的 作用 。 

寻找 这 类 软件 时 需要 注意 的 一 个 重要 功能 是 它们 人 允许 使 用 模板 的 能 力 。 模 板 使 得 同 客户 
机 系统 上 的 可 接受 标准 的 一 致 性 可 以 惟一 指定 。 如 果 不 使 用 模板 ， 控 制 监视 器 在 其 安全 问题 
报告 中 就 有 可 能 会 非常 罗 味 元 长 。 雪 地 里 的 重要 脚印 可 能 会 被 忽视 、 跳 过 或 者 在 辨别 之 前 又 
被 踏 上 儿 脚 。 这 里 的 思想 是 ， 对 被 报告 的 信息 进行 剪裁 ， 从 而 只 报告 那些 同 客户 机 系统 相关 
的 重大 安全 二 件 。 控 制 监视 器 所 做 的 检查 包括 : 

。 密 码 和 组 数据 库 的 拥有 关系 。 

。 密 码 和 组 数据 库 的 许可 。 

。 用 于 每 个 账号 的 密码 或 者 账号 会 被 禁用 。 

。 用 户 ID 和 组 ID 一 致 性 。 

。$PATH 和 $UMASK 变 量 的 正确 设置 。 

。 其 访问 权限 是 松散 的 用 户主 环境 目录 和 文件 。 

。 扩 展 主机 等 效 性 的 文件 。 

。 其 他 用 户 可 写 的 操作 系统 目录 和 文件 。 

。 所 有 SETUID 和 SETGID 程 序 的 报告 。 

。 所 有 可 写 设备 文件 的 报告 。 

。 所 有 失败 的 访问 尝试 ( 登录、 特权 访问 或 者 资源 访问 )。 


to ee 
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。 如 果 UUCP 启 用 了 ，、 那 么 /usr/lib/uucp/Systems 和 /usr/lib/uucp/Permissions 文 件 必 须 存 在 且 
安全 ，/usr/spool/uucpublic 目 录 同 样 如 此 。 

。 对 所 有 NFS 全 局 和 超级 用 户 启用 的 导出 的 报告 。 

。 所 有 人 允许 SUID 和 设备 文件 导入 的 挂 接 。 

上 面 这 个 列表 列举 了 控制 中 可 能 出 现 的 一 些 脆弱 性 ， 但 它 并 不 是 完全 的 。 控 制 监视 器 分 
为 三 类 : 捐赠 的 软件 、 厂 商 提供 的 产品 以 及 商业 产品 。 

1. 捐赠 的 控制 监视 器 

使 用 最 广泛 的 控制 监视 器 之 一 是 计算 机 甲骨 文 和 密码 系统 ( Computer Oracle and 
Password System，COPS )。COPS 是 由 Dan Farmer 和 Eugene H.Spafford 开 发 的 一 套 捐赠 ( 自由 ) 
软件 。 该 软件 可 以 对 UNIX 系 统 上 的 安全 脆弱 性 进行 全 面 检查 ， 其 检查 内 容 包括 各 种 文件 和 有 目 
录 的 错误 许可 以 及 SUID/SGID 检 查 。COPS 提 供 源 代码 ,并 且 它 已 经 移植 到 了 几乎 每 一 种 
UNIX 环 境 中 。COPS 当 前 没有 GUI 界面 ， 它 是 由 一 个 命令 行 shell 程 序 调 用 的 。 报 告 可 以 直接 
打印 出 来 , 或 者 邮寄 到 系统 管理 员 。 因为 COPS 实 际 上 是 一 个 免费 软件 包 ， 所 以 对 它 的 支持 是 
本 地 系统 管理 员 的 责任 。 

德州 A&M 大 学 的 TAMU Tiger 安 全 工具 箱 也 是 一 套 捐赠 的 软件 包 。 该 软件 提供 很 多 安全 检 
查 ， 其 中 包括 对 关键 二 进 制 程序 进行 各 种 加 密 校 验 和 的 测验 。 TAMU 也 检查 安全 补丁 的 正确 
应 用 和 已 知 的 安全 暴露 。 

2. 厂商 提供 的 产品 

许多 硬件 厂商 把 控制 监视 工具 作为 其 系统 管理 工具 集 的 一 部 分 来 提供 。 这 些 监视 器 通常 
是 由 硬件 厂商 的 支持 组 织 支 持 的。 一 般 来 说 ， 这 些 监 视 器 在 探查 其 硬件 平台 所 特有 的 脆弱 性 
方面 非常 有 效 。 其 负面 作用 是 它们 通常 不 能 移植 到 其 他 UNIX 实 现 上 。 

3. 商业 控制 监视 | 

几 个 厂商 也 提供 了 商业 的 UNIX 控 制 监视 产品 ， 这 些 产 品 相对 于 非 商 业 的 软件 来 说 有 一 些 
先进 之 处 。 它 们 可 以 适用 于 很 多 混合 的 UNIX 环 境 (如 AIX、SUN/OS、Solaris 以 及 HP-UX )。 
这 些 软件 通常 允许 一 个 系统 起 到 一 个 安全 控制 器 的 作用 ， 负责 监视 一 个 安全 域内 的 系统 。 它 
也 促进 同 客户 策略 (如 密码 长 度 检 查 ) 的 一 致 性 。 报告 可 以 使 用 一 个 模板 来 生成 ， 这 样 能 消 
除 无 效 的 或 者 不 适当 的 警告 。 商业 UNIX 控 制 监视 产品 通常 都 有 一 个 容易 使 用 的 GUI 界面 。 另 
一 个 重要 的 功能 是 它们 可 以 为 特殊 计算 环境 定制 安全 性 检查 。 同安 全 相关 的 报告 可 以 很 容易 
地 定制 。 最 后 ， 软 件 支持 是 可 用 的 。 

商业 控制 监视 解决 方案 包括 BrainTree Technology 的 AuditorPlus 以 及 Axent Technologies 的 
Intruder Alert。 系 统管 理解 决 方案 提供 商 ， 如 Computer Associates ， 也 在 其 软件 产品 中 提供 了 
控制 监视 功能 。 

4. 商业 访问 控制 解决 方案 . 

这 类 解决 方案 通过 自己 的 认证 、 授权 以 及 完整 性 控制 机 制 补充 了 本 地 系统 控制 。 这 些 方 
案 不 同 于 系统 管理 工具 ， 这 是 因为 它们 的 主要 着 眼 点 是 安全 性 。 一 般 情况 下 ， 它们 不 提供 其 
他 的 系统 管理 功能 。 属 于 这 类 解决 方案 的 商业 产品 包括 Los Altos Technologies 公 司 的 Armor、 
瑞典 斯 德 哥 尔 摩 Dynamic Software AB 的 BoKs、Axtent Technologies 公 司 的 OmniGuard。 这 些 
类 型 的 解决 方案 可 用 于 UNIX、Novell Netware、Windows NT 以 及 其 他 环境 。 它 们 一 般 提 供 如 
下 优点 : 
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。 集 中 式 管理 。 

“密码 策略 实施 。 

“网 络 访问 过 滤 。 

。 基 于 时 间 的 访问 控制 。 

。 系统 生成 的 密码 。 

。 并 发 访问 限制 。 

。 针 对 具体 设备 的 访问 。 

* 密码 长 度 检查 。 

。 自 审计 机 制 。 

* 集中 式 审计 跟踪 。 

这 类 解决 方案 也 为 许多 安全 功能 提供 了 集中 式 管 理 。 例 如 ，Armor 能 够 起 到 为 数 百 个 
UNIX 工 作 站 进行 用 户 认证 的 单一 认证 源 的 作用 。 改 进 的 密码 管理 和 审计 也 是 常见 的 功能 。 例 
如 ，BoKs 和 OmniGuard 通 过 密码 组 成 规则 和 密码 时 效 性 的 使 用 增强 了 对 健壮 密码 的 需求 。 


12.1.1 系统 管理 


商业 系统 管理 解决 方案 也 可 用 于 分 布 式 UNIX 环 境 。 这 些 方案 为 分 布 式 系统 管理 问题 提供 
了 一 个 全 面 的 解决 方法 ， 这 些 问 题 包括 备份 和 恢复 、 任 务 调度 以 及 用 户 管理 。 许 多 同安 全 相 
关 的 功能 ， 包 括 控制 监视 和 完整 性 检查 在 内 ， 系 统管 理 方案 也 都 提供 了 。 商 业 系统 管理 解决 
方案 包括 Computer Associates 的 CA Unicenter、 惠 普 的 OpenView Systems Management、IBM 
的 SystemView、Axtent Technologies 的 Ommi-Guard ESM 以 及 Tivoli Systems 的 Tivoli 
Management Environment。 将 在 第 22 章 中 深入 探讨 访问 控制 和 系统 管理 解决 方案 。 


12.1.2 审计 跟踪 


UNIX 不 使 用 一 个 单一 的 、 综 合 的 审计 跟踪 来 记录 系统 行为 。 操 作 系统 把 审计 数据 记录 在 
许多 地 方 ， 其 中 每 个 都 使 用 不 同 的 格式 和 报告 技术 。 这 些 独 立 的 审计 跟踪 都 被 给 与 了 不 同 的 
位 置 和 名 字 。 它 们 在 各 种 UNIX 平 台 上 也 不 是 标准 的 。 表 12-3 总 结 了 HP-UX 操 作 系 统 上 可 用 的 
主要 审计 跟踪 。 

表 12-3 UNIX 审 计 跟 踪 


审计 跟踪 审计 跟踪 的 种 类 
.history & .sh_history 用 户 命令 行 项 
/varadm/wtmp 成 功 的 登录 
Avaradm/btmp 失败 的 登录 
jvar/adm/syslog/* 网 络 连 接 日 志文 件 
/secure/etc/auditlogX(C2) 操作 系统 调用 
/var/adm/acct 用 户 行为 
/var/ladm/sulog 改变 到 用 户 ID 


商业 访问 控制 和 系统 管理 解决 方案 一 般 提供 了 一 个 集中 式 审计 跟踪 和 高 级 报告 功能 。 
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12.1.3 动态 警报 


北美 的 许多 公司 为 家 庭 用 户 提 供 了 电子 运动 监测 器 。 这 些 监测 器 能 探查 人 侵 者 、 听 到 警 
报 ， 甚 至 能 够 氢 叫 本 地 警察 局 。 表 明 它 们 出 现在 家 庭 中 的 滞销 货 的 存在 是 足够 防止 许可 犯罪 
行为 的 。 通 过 把 对 网 络 管理 的 需要 和 安全 性 结合 起 来 ， 也 可 以 把 一 个 类 似 的 功能 扩展 到 UNIX 
系统 上 。 网 络 管理 系统 主要 用 于 复杂 计算 机 网 络 的 管理 。 它 们 能 够 记录 和 处 理 警报 ， 甚 至 达 
到 为 全 体 员工 分 页 的 程度 。 它 们 的 使 用 可 以 扩展 到 安全 领域 中 。 我 们 将 在 第 22 章 中 介绍 动态 
警报 的 使 用 。 


12.1.4 安全 警报 


卡 内 基 梅 隆 大 学 的 计算 机 紧急 反应 组 (Computer Emergency Response Team，CERT ) 和 
美国 能 源 部 的 计算 机 事故 报告 能 力 ( Computer Incident Advisory Capability，CIAC ) 跟踪 各 
种 操作 系统 的 已 知 脆弱 性 。 当 安全 性 暴露 已 知 的 时 候 ， 他 们 提供 安全 警报 和 公告 。 报 告 被 转 
发 到 说 明 安 全 事故 的 安全 社区 ， 并 推荐 为 动作 教程 。 

| 几 个 计算 机 厂商 也 提供 了 安全 报告 的 公开 通知 。 表 12-4 列 出 了 部 分 关于 安全 报告 、 公 告 
和 支持 的 邮件 地 址 。 
表 12-4 安全 报告 、 公 告 和 支持 的 邮件 地 址 
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厂 商 邮件 地 址 
CERT Cert@cert.org 
CIAC ciac-listproc @1lnl.gov 
Cray Research support@cray.com 
Hewlett-Packard security-alert@hp.com 
IBM services @austin.ibm.com 
Next ask_next@next.com 
Santa Cruz Operation security-alert@sco.com 
Silicon Graphics security-alet@sgi.com 
Sun MicroSystems security-alert@sun.com/var/adm/wtmp 

HP 安全 公告 


可 以 向 support@ support.mayfield.hp.com 发 送 主 题 为 security_info 的 电子 邮件 来 订阅 HP 安 
全 公告 。 如 果 想 得 到 所 有 HP 安全 公告 的 索引 ， 可 以 向 上 面 地 址 发 送 主 题 为 security_info_list 的 
电子 邮件 , 或 者 访问 惠普 公司 的 网 站 www.hp.com。 有 关 安 全 问题 ， 请 发 送 邮 件 到 security- 


alert@hp.com。 
12.2 结论 


有 很 多 用 于 UNIX 环 境 中 的 安全 问题 的 解决 方案 ， 其 中 包括 捐赠 的 和 商业 的 解决 方案 ， 它 
们 都 为 认证 、 访 问 控制 、 完 整 性 检查 以 及 控制 环境 的 监视 提供 了 高 级 工具 。 

前 面 我 们 对 基本 的 UNIX 控 制 结构 、 有 关 它 们 的 实现 问题 以 及 网 络 功能 进行 了 讨论 ， 并 了 
解 了 UNIX 环 境 中 的 安全 性 问题 。 关 于 UNIX 中 的 安全 性 问题 ， 有 三 个 关键 点 。 

第 一 点 ， 有 很 多 方法 都 能 破坏 一 个 UNIX 系 统 的 完整 性 。 若 要 正确 地 实现 安全 性 ， 掌 握 有 
关 UNIX 工 作 原理 的 知识 是 非常 重要 的 。 安 全 和 系统 管理 员 都 必须 要 深度 掌握 UNIX 的 工作 机 


ee 
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制 ， 并 且 能 做 到 “ 温 故而 知 新 "”。 必 须 认 识 到 ， 由 于 环境 的 复杂 程度 ， 手 工 检查 控制 中 的 脆弱 
性 是 不 可 能 的 。 所 以 必须 要 使 用 一 个 自动 工具 来 进行 安全 性 检查 。 

第 二 点 ， 总 体 可 靠 性 绝对 不 能 置 于 控制 环境 的 持续 功能 性 上 。 必 须要 认识 到 ， 当 控制 分 
布 化 的 时 候 ， 它 们 会 随 着 时 间 而 恶化 。 对 应 用 程序 的 改变 、 升 级 操作 系统 或 者 新 系统 管理 员 
的 行为 都 可 能 会 影响 到 一 个 给 定 控制 的 持续 功能 性 。 对 于 那些 负责 UNIX 系 统 的 人 ， 或 者 同 此 
相关 的 任何 计算 机 系统 来 说 ， 他 们 必须 要 积极 地 检查 现 有 控制 并 查找 控制 结构 中 的 脆弱 性 。 

第 三 点 ， 对 积极 检查 UNIX 环 境 以 寻找 安全 性 征兆 的 需要 会 改变 。 但 是 如 果 控 制 正确 地 实 
现 了 ， 并 且 定 期 评审 ， 那 么 为 什么 不 能 简单 地 依靠 这 些 控制 呢 ? 原因 就 是 ， 同 大 型 机 环境 不 
同 ， 分 布 式 环境 中 的 控制 通常 是 由 本 地 管理 员 实施 的 。 因 为 没有 中 心 权力 ， 所 以 分 布 式 的 控 
制 在 过 一 段 时 间 后 可 能 会 削弱 或 者 绕 过 。 

上 面 几 点 为 我 们 对 集中 式 安全 管理 方案 的 使 用 和 分 布 式 计算 中 的 审计 任务 所 进行 的 最 后 
讨论 构成 了 基础 。 但 是 在 能 够 完全 信任 环境 之 前 ， 开 放 式 系统 的 基础 需要 得 到 支持 。 另 外 的 
有 关 需 求 和 领域 包括 : 

。 对 可 用 于 很 多 应 用 的 单一 登录 技术 的 需要 。 

,客户 机 和 服务 器 之 间 的 相关 安全 认证 ， 以 及 对 在 一 个 不 可 信 传 输 上 保护 数据 (包括 密码 

在 内 ) 流量 的 需要 。 

。 对 认证 和 授权 特权 的 集中 式 安全 管理 的 需要 。 

OSF 的 分 布 式 计算 环境 (DCE ) 为 开放 式 系统 计算 提供 了 一 个 坚固 的 基础 。 我 们 将 在 后 
面 章节 中 探讨 OSF 的 中 间 件 方案 。 但 是 首先 要 探讨 一 下 Windows NT 一 一 一 个 相对 较 新 的 操作 
系统 一 一 是 如 何 解决 计算 安全 性 问题 的 。 
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访问 控制 列表 








用 户 账号 NT 文件 系统 

特权 TCP/IP 服 务 
Administrator 账 号 远程 访问 

组 审计 和 报警 

安全 描述 符 Windows NT 安全 吗 ? 


用 户 轮廓 /登录 脚本 


Microsoft 的 Windows NT 操作 系统 是 在 1993 年 首先 进入 市 场 的， 现在 它 已 经 成 为 一 个 部 署 
客户 机 -服务 器 应 用 的 流行 平台 。Windows NT 是 基于 32 位 体系 结构 的 ， 它 提供 了 许多 高 级 功 
能 ， 其 中 包括 多 任务 、 高 可 用 性 以 及 资源 共享 。Windows NT 提供 了 一 个 容易 使 用 的 管理 工具 ， 
并 且 对 许多 工业 标准 网 络 服务 提供 了 支持 。Windows NT 也 结合 了 动态 主机 配置 程序 
(Dynamic Host Configuration Program，DHCP )，DHCP 允 许 网 络 地 址 动态 分 派 给 客户 机 。 
Windows NT 也 是 使 用 Microsoft 的 SQL Server 数 据 库 引擎 的 流行 平台 。 

从 安全 角度 上 看 ， 相 对 于 包括 UNIX 在 内 的 一 些 较 老 的 操作 系统 来 说 ，Windows NT 环境 
结合 了 许多 高 级 安全 功能 。 这 些 功能 包括 密码 在 网 络 上 的 保护 、 委 托管 理 特权 的 能 力 以 及 对 
安全 管理 的 一 个 全 局 方法 。 最 近 ，Windows NT 收 到 了 美国 国防 部 的 国家 计算 机 安全 中 心 颁发 
的 C2 证 书 。Microsoft 也 为 包括 安全 性 在 内 的 很 多 Windows NT 功能 发 布 了 一 套 应 用 编程 接口 
(API )。 这 些 API 人 允许 第 三 方 的 和 定制 的 应 用 程序 结合 进 Windows NT 环境 中 。 

Windows NT 分 为 客户 机 版 和 服务 器 版 。 两 个 版 本 在 功能 上 基本 类 似 ,但 是 客户 机 版 同 服 
务 器 版 比 起 来 功能 稍 弱 。 例 如 ， 远 程 访问 服务 器 现在 支持 最 多 256 个 同时 连接 ， 而 客户 机 版 只 
支持 一 个 连接 。 尽 管 两 个 版 本 所 提供 的 控制 的 核心 功能 是 相同 的 ， 但 是 客户 机 系统 不 支持 全 
局 安全 管理 功能 。 因 此 ， 我 们 将 主要 讨论 Windows NT 操作 系统 的 服务 器 版 。 

同 前 面 几 章 一 样 ， 我 们 的 目的 是 提供 对 Windows NT 使 用 的 安全 机 制 的 一 个 良好 理解 。 在 
掌握 了 以 后 ， 将 探讨 一 些 突出 的 安全 性 问题 。 首先 将 对 Windows NT 安全 性 的 整体 特性 进行 一 
下 探讨 ， 下 面 先 从 介绍 Windows NT 域 这 个 概念 开始 。 

NT 域 . 

Windows NT 安全 性 提供 了 管理 用 户 账号 和 组 的 能 力 ， 并 提供 了 从 一 个 中 心 观点 上 实施 安 
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全 策略 的 能 力 。 为 了 管理 目的 ，Windows NT 机 器 ( 包括 客户 机 和 服务 器 在 内 ) 可 以 合并 到 一 
个 称 做 域 的 组 内 。 一 个 域内 的 多 个 机 器 可 以 共享 一 个 公共 的 用 户 账号 数据 库 一 一 其 术语 是 全 
局 账号 域 。 这 为 用 户 提供 了 一 个 公共 用 户 ID， 而 无 需 考虑 他 们 登录 的 是 域内 的 哪 台 机 器 。 用 
户 也 可 以 指派 到 为 整个 域 所 定义 的 组 中 。 

同 通常 的 UNIX 环 境 不 同 ， 安 全 标准 可 以 实施 到 一 个 域内 的 所 有 系统 上 。 在 域 中 ， 有 一 台 
机 器 被 定义 成 域 的 主要 控制 系统 。 从 该 系统 上 ， 可 以 建立 公共 的 安全 策略 ， 并 实施 到 整个 域 
上 。 对 这 个 系统 的 访问 权 通 常 〈 但 并 不 总 是 ) 限定 给 域 管理 员 。 也 可 以 指派 用 于 域 控制 的 备 
份 机 器 ， 从 而 在 主 域 不 可 用 的 情况 下 提供 元 余 性 。 

Windows NT 也 支持 可 信 域 的 概念 ， 它 允许 那些 已 经 通过 其 自己 主 域 认证 的 用 户 可 以 访问 
其 他 域 中 的 服务 一 只 要 第 二 个 域 信任 主 域 。 若 要 这 么 做 ， 二 级 域 的 域 安全 管理 员 必须 同意 
把 信任 扩展 到 用 户 的 域 。Windows NT 也 可 以 扩展 支持 在 二 级 域 中 没有 一 个 实际 账号 的 用 户 。 
这 称 做 传递 确认 ， 它 允许 用 户 可 以 临时 访问 外 部 域 而 无 需 管理 员 的 任何 干预 。 需 要 注意 的 是 ， 
对 一 个 域 的 访问 权 并 不 提供 对 任何 资源 的 访问 权 。 本 地 系统 管理 员 完 全 控制 着 哪些 资源 允许 
来 自 本 地 域 或 者 外 部 域 中 的 用 户 访问 。 图 13-1 给 出 了 Windows NT 域 模型 的 概 图 。 


C*) 


用 户 的 账号 在 域 C 中 是 无 效 的 。 他 
们 不 可 以 访问 域 C 内 的 任何 资源 。 


图 13-1 Windows NT 域 模型 


使 用 域 模型 主要 有 两 个 好 处 。 第 一 个 是 安全 标准 如 密码 时 效 、 最 小 密码 长 度 以 及 在 一 
段 无 交互 期 后 锁定 账号 ) 可 以 实施 到 域内 的 所 有 机 器 上 。 因 为 组 织 的 安全 策略 集中 实施 了 ， 
所 以 由 本 地 系统 管理 的 不 一 致 所 带 来 的 安全 脆弱 性 得 到 了 消除 。 这 提高 了 域 的 整体 安全 性 。 
但 更 重要 的 是 ， 域 为 用 户 提供 了 一 个 单一 参考 点 。 对 于 辞职 的 或 者 被 解雇 的 员工 来 说 ， 系 统 
可 以 在 一 个 集中 管理 的 地 方 取消 他 们 的 访问 权 。 对 于 账号 已 取消 的 用 户 来 说 ， 除 非 他 们 知道 
GUEST 账号 ， 否 则 将 拒绝 他 们 对 Windows NT 资源 的 任何 访问 。 

域 模型 的 另 一 个 重要 方面 是 包括 合作 伙伴 和 合约 人 员 在 内 的 非 员工 可 以 很 容易 地 标识 。 
当 一 个 非 员 工 添加 到 域 中 时 ,他 (她 ) 可 以 指派 到 一 个 标识 特殊 状态 的 全 局 组 中 。 本 地 管理 
员 可 以 在 非 员 工 组 指派 的 基础 上 明确 接受 或 者 拒绝 对 敏感 或 者 机 密 信 息 的 访问 。 

从 前 面 可 知 ，Windows NT 人 允许 域 管理 员 为 域内 的 用 户 建立 和 实施 标准 。 这 些 标准 主要 实 
施 到 用 户 的 账号 上 ， 其 中 包括 要 求 密码 长 度 和 最 小 密码 长 度 的 能 力 。 针 对 密码 长 度 和 组 成 ， 












用 户 在 他 们 自己 的 主 域 
(A) 中 认证 。 因 为 域 B 
信任 域 A， 所 以 用 户 可 
以 访问 域 B 中 的 资源 。 
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公司 标准 也 可 以 实施 。 在 一 段 无 交互 期 以 后 ， 或 者 在 连续 数 次 尝试 登录 失败 以 后 ， 用 户 也 可 
以 连接 断 开 。 

用 户 账号 

正常 情况 下 ，Windows NT 用 户 是 由 安全 管理 员 来 指派 账号 的 。 用 户 账 号 可 以 在 本 地 的 基 
础 上 进行 定义 也 可 以 在 域 的 基础 上 进行 定义 。 本 地 账号 只 能 由 本 地 系统 确认 ， 而 域 账号 是 域 安 
全 服务 进行 确认 的 。 账 号 信息 保存 在 一 个 安全 账号 数据 库 中 ， 该 数据 库 是 由 安全 账号 管理 器 
( Security Account Manger，SAM ) 功能 所 管理 的 。SAM 可 以 存在 于 一 个 本 地 系统 上 ， 也 可 以 
放 在 网 络 上 从 而 为 整个 域 提供 安全 信息 。SAM 的 域 版 本 可 以 复制 到 多 个 服务 器 上 以 提供 元 余 。 

Windows NT 的 客户 机 和 服务 器 系统 都 支持 GUEST 账 号 的 使 用 。GUEST 账 号 用 来 向 临时 
用 户 提供 访问 权 ， 这 些 用 户 在 登录 时 使 用 GUEST 做 为 账号 名 。 在 Windows NT 客户 系统 上 ， 
GUEST 账号 是 默认 启用 的 ， 而 服务 器 则 恰好 相反 。 如 果 启 用 了 的 话 ，GUEST 账 号 应 该 通过 一 
个 密码 来 保护 。 聪 明 的 管理 员 应 该 定期 检查 该 账号 的 访问 权 ， 并 保证 尽 可 能 限制 它们 。 

特权 . 

特权 是 一 套 允许 一 个 用 户 或 者 组 成 员 进 行 具体 动作 的 权限 的 集合 。 特 权 可 以 直接 由 管理 
员 指 派 给 用 户 ， 也 可 以 根据 一 个 已 定义 组 的 关系 来 继承 。 当 用 户 想 访问 某 个 对 象 的 时 候 ， 就 
会 检查 用 户 的 特权 。 这 些 特权 包括 访问 网 络 上 的 Windows NT 机 器 、 进 行 备份 以 及 管理 审计 系 
统 的 权力 。 表 13-1 列 出 了 一 些 可 以 指派 给 用 户 或 组 的 可 能 的 特权 。 

表 13-1 NT 特权 示例 列表 


-一 


特权 说 明 
SE-SYSTEMTIME_NAME 重 设 系统 时 钟 
SE_RESTORE_NAME 从 备份 中 提取 文件 
SE_DEBUG_NAME 进行 系统 调试 
SE_SHUTDOWN_PRIVILEGE 关闭 和 重启 系统 
SE_TAKE_OWNERSHIP 传递 对 象 的 拥有 关系 


Windows NT 中 有 很 多 可 用 的 特权 。 表 13-1 只 提供 了 其 中 的 少数 几 个 示例 。 需 要 认识 到 ， 
Windows NT 安全 机 制 是 在 两 个 因素 的 基础 上 决定 是 否 允 许 一 个 用 户 进行 某 个 动作 ， 它 们 是 用 
户 所 拥有 的 特权 和 用 户 希 望 访问 的 对 象 的 访问 控制 。 即 使 用 户 给 与 了 访问 网 络 上 Windows NT 
服务 器 的 特权 ， 他 们 可 能 也 会 被 拒绝 访问 该 服务 器 上 的 任何 或 者 全 部 资源 。 特权 也 可 以 为 管 
理 整个 Windows NT 域 而 定义 。 这 些 全 局 特权 通常 同一 个 域 用 户 管理 器 相关 。 

Administrator 账 号 

Windows NT 中 的 Administrator 账 号 同 UNIX 超 级 用 户 有 点 相似 ， 它 具有 对 Windows NT 系 
统 的 完全 控制 权 。 二 者 之 间 的 明显 不 同 是 Windows NT 管理 员 已 经 赋予 了 能 力 ， 这 是 因为 它们 
已 经 指派 了 用 户 权 限 的 全 部 集合 。 如 果 这 些 权限 删除 和 指派 给 其 他 用 户 ， 这 种 能 力 就 会 消除 。 
在 UNIX 上 ， 如 果 不 使 用 第 三 方 产品 或 者 修改 操作 系统 的 话 ， 这 是 不 可 能 做 到 的 。 


组 

同 我 们 已 经 介绍 过 的 其 他 操作 系统 一 样 ，Windows NT 也 支持 组 的 使 用 。 使 用 一 个 称 做 组 
的 复合 实体 ,访问 权限 和 特权 可 以 指派 给 多 个 用 户 。Windows NT 为 本 地 机 器 和 域 预定 义 了 很 
多 默认 组 ， 其 中 包括 管理 员 、 访 客 以 及 用 户 组 。 系 统管 理 员 可 以 按照 意愿 来 建立 和 维护 新 组 ， 
他 们 可 以 在 部 门 结构 、 工 作 职能 或 者 其 他 所 需 的 链接 用 户 的 原因 基础 上 创建 新 组 。 创建 组 的 
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主要 原因 是 为 了 简化 管理 。 从 安全 角度 上 看 ， 指 派 到 组 中 的 用 户 继承 了 同 该 组 相关 的 权限 和 
特权 。 

Windows NT 支持 两 种 类 型 的 组 ， 本 地 组 和 全 局 组 。 本 地 组 只 在 本 地 系统 上 是 有 效 的 , 它 
不 能 授予 其 他 NT 系统 上 的 特权 。 然 而 ， 它 可 以 包含 由 已 经 全 局 定义 的 域 或 组 所 定义 的 用 户 账 
号 。 全 局 组 在 整个 Windows NT 域 ( 或 者 其 他 可 信 域 ) 上 都 可 用 。 全 局 组 不 能 包含 本 地 组 ， 也 
不 能 包含 其 他 全 局 组 。 本 地 组 和 全 局 组 之 间 的 最 大 区 别 是 本 地 组 中 的 成 员 只 在 本 地 系统 上 是 
有 用 的 ， 而 全 局 组 中 的 成 员 可 以 在 许多 不 同 的 系统 上 授予 访问 权 。 同 其 他 操作 系统 中 的 组 的 
使 用 一 样 ， 控 制 和 监视 组 访问 特权 和 组 成 员 是 非常 重要 的 。 

安全 描述 符 

Windows NT 允许 访问 控制 置 于 很 多 系统 和 域 资源 上 。 保 护 资源 的 类 型 包括 : 文件 、 目 录 、 
打印 机 、 程 序 以 及 网 络 连接 。 实 现 资源 安全 性 的 方法 是 ， 在 一 个 称 做 安全 描述 符 的 数据 结构 
中 指定 特殊 的 安全 性 信息 ， 然 后 把 该 安全 描述 符 同 需 要 保护 的 资源 或 对 象 关联 起 来 。 安 全 描 
述 符 包 含 拥 有 者 的 名 字 和 用 于 对 象 的 相关 组 名 ， 并 且 也 保持 了 可 以 访问 该 对 象 的 用 户 列 表 、 
如 何 访问 该 对 象 以 及 用 于 该 对 象 的 审计 需求 。 用 户 和 组 的 列表 加 上 相关 的 访问 许可 称 做 访问 
控制 列表 。 


13.1 安全 控制 


成 功 登录 到 Windows NT 环境 上 的 用 户 会 收 到 一 个 访问 令 牌 。 系 统 授予 用 户 对 一 个 对 象 的 
访问 权 所 根据 的 不 是 用 户 ID， 而 是 这 个 访问 令 牌 。 访 问 令 牌 包含 三 项 关键 内 容 ， 用 户 ID、 用 
户 所 属 的 组 以 及 已 经 授予 用 户 的 特权 。 用 户 所 运行 的 每 个 程序 或 进程 都 给 了 访问 令 牌 的 一 份 
拷贝 。 

通过 使 用 用 户 ID (如 账号 名 ) 和 相关 密码 的 结合 体 进 行 登录 ， 就 认证 了 用 户 ， 然 后 得 到 
访问 令 牌 。 用 户 ID 是 用 来 标识 用 户 账号 的 。 用 户 ID 最 多 可 以 包含 20 个 字符 ， 但 是 大 小 写 无 所 
谓 。 在 Windwes NT 环境 中 ， 用 户 ID glenbruce 和 GLENBRUCBE 是 一 样 的 。 密 码 最 多 可 以 包含 
14 个 字符 ,但 是 同 用户 ID 不 一 样 ， 密 码 是 区 分 大 小 写 的 。 这 种 异常 曾 让 许多 用 户 受挫 ， 包 括 
作者 在 内 。 登 录 过 程 本 身 是 通过 强迫 用 户 输入 ALT+CONTROL+DELETE 组 合 键 进行 保护 的 ， 
如 果 在 登录 程序 之 外 使 用 该 组 合 键 ， 这 会 导致 一 个 Windows 工 作 站 进入 重启 画面 。 这 种 方法 
.能够 阻止 特洛伊 木马 程序 ,但 是 有 人 说 基于 DOS 的 特洛伊 木马 程序 能 够 绕 过 这 种 控制 。 

图 13-2 提 供 了 Windows NT 认证 和 授权 机 制 的 一 个 概 图 。 

本 地 安全 管理 器 (Local Security Authority，LSA ) 是 一 个 运行 在 本 地 计算 机 上 的 安全 子 
系统 ， 它 负责 标识 用 户 、 创 建 访问 令 牌 和 维护 审计 跟踪 。 登 录 进 程 激活 的 是 LSA。 然 后 LSA 
联系 安全 注册 表 (如 SAM )， 并 由 SAM 校 验 用 户 账号 和 密码 。 SAM 也 向 LSA 提 供 关于 用 户 组 
成 员 关 系 和 特殊 特权 的 信息 。 一 旦 SAM 确 认 了 用 户 的 标识 ， LSA 就 会 为 用 户 创 建 一 个 生命 期 
受 限 的 访问 令 牌 。 实 际 上 , 访问 令 牌 只 在 用 户 会 话 期 内 有 效 ， 它 会 因为 用 户 无 交互 或 者 时 间 
限制 而 自动 消除 。SAM 和 LSA 之 间 的 所 有 通信 都 使 用 LSA 和 SAM 共 享 的 密 钥 进行 加 密 。 

接着 , 访问 令 牌 传递 到 监视 和 控制 Windows NT 进程 的 Win32S 子 系统 。 Win32S 接 着 为 用 
户 开始 一 个 初始 的 进程 。Windows 程 序 管理 器 启动 ， 它 显示 用 户 的 初始 图 标 和 桌面 。 用 户 启 
动 的 每 一 个 后 续 进 程 都 有 与 其 相关 的 访问 令 牌 。 当 用 户 请 求 访问 一 个 对 象 时 ， 这 些 访问 令 牌 
(不 是 账号 名 ， 如 用 户 ID ) 就 会 检查 。 负责 检查 的 是 第 二 个 安全 功能 ， 安 全 参考 监视 器 
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(Security Reference Monitor，SRM )， 它 来 确定 是 否 授予 对 Windows NT 资源 的 访问 权 。SRM 
对 访问 令 牌 和 与 对 象 关 联 的 安全 描述 符 进行 比较 。 如 果 安 全 描述 符 所 请 求 的 要 求 满足 ， 那 么 
就 会 授予 对 该 对 象 的 访问 权 。 
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ALT+CNTL+DEL 初 
始 化 登录 过 程 。LSA 
接受 用 户 ID 和 密码 并 
出 安全 参考 管 
同 SAM 进 行 通 信 。 i 
WIN32S ole” 安全 
Manger, 
第 3 步 SRM) 
LSA 为 用 户 创 建 访问 当 一 个 进程 需要 访问 对 象 时 ， 安 全 
令 牌 并 把 它 传递 到 参考 管理 器 把 进程 的 访问 令 牌 同 对 
WIN32S 进 程 管理 器 。 象 安全 描述 符 进 行 比较 


图 13-2 认证 和 授权 


Windows NT 所 使 用 的 认证 和 授权 方法 有 几 个 优点 。 首 先 ， 密 码 在 LAN 上 是 以 加 密 的 形式 
而 不 是 以 明文 的 形式 进行 传输 ， 因 而 它 不 能 直接 查看 到 。 第 二 ， 认 证 和 授权 进程 之 间 有 一 个 
非常 牢固 的 连接 。 因 为 访问 一 个 对 象 需要 一 个 访问 令 牌 ， 所 以 入侵 者 不 能 简单 地 使 用 一 个 假 
的 用 户 ID 来 提交 一 个 系统 调用 。 通 过 检查 用 户 的 特权 和 标识 ， 访 问 控制 也 提高 了 安全 性 。 


13.1.1 用 户 配置 文件 /登录 脚本 


用 户 的 桌面 环境 可 以 在 用 户 配置 文件 (profile ) 中 进行 定义 。 用 户 配 置 文件 用 来 设置 默认 
打印 机 和 显示 公共 屏幕 布局 和 颜色 。 它们 对 于 安全 最 重要 的 方面 是 能 够 防止 用 户 改 变 环 境 。 
也 可 以 用 它们 来 为 用 户 指派 默认 HOME 目录 ( 该 目录 可 以 用 来 保护 建立 的 文件 ， 或 者 限制 用 
户 可 以 访问 的 程序 和 信息 )。 

用 户 配置 文件 可 以 指派 到 独立 用 户 ， 也 可 以 指派 到 组 。 用 户 配置 文件 的 一 个 重要 限制 是 
它们 仅 能 为 Windows NT 客户 工作 ， 而 不 能 用 在 Windows 95 或 者 Windows for WorkGroup 客 户 
机 上 。Windows NT 也 支持 登录 脚本 一 一 在 用 户 登 录 后 被 自动 执行 的 批 处 理 文件 。 尽 管 没有 用 
户 配置 文件 全 面 ,但 脚本 可 以 被 所 有 的 Windows 客 户 机 使 用 。 登录 脚本 可 以 用 来 启动 更 进 一 
步 的 安全 性 检查 、 控 制 环境 设置 ， 或 者 初始 化 同 其 他 机 器 的 网 络 连 接 。 


13.1.2 访问 控制 列表 


Windows NT 使 用 访问 控制 列表 来 限制 用 户 对 资源 的 访问 。ACL 主 要 同 Windows NT 文件 
系统 一 起 工作 ， 它 可 以 限制 用 户 访问 、 维 护 或 者 删除 资源 的 能 力 。 访问 控制 列表 实际 上 由 很 
多 条 项 组 成 ， 这 些 项 称 做 访问 控制 项 ( Access Control Entries，ACE )。 每 个 ACE 包括 了 有 关 
对 象 如 何 被 特定 请 求 者 访问 以 及 需要 进行 什么 审计 的 信息 。 对 于 一 个 文件 ， 一 个 ACE 可 以 向 
某 个 特定 用 户 授予 读 写 特 权 。 还 可 以 建立 第 二 个 ACE 来 允许 一 组 用 户 只 能 读 取 该 文件 ， 等 等 。 
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ACE 项 所 授予 的 权限 也 称 做 是 访问 掩 码 。 受 到 控制 的 访问 类 型 取决 于 ACL 所 控制 的 对 象 类 型 。 
表 13-2 列 出 了 一 般 的 用 于 文件 的 访问 权限 ， 它 们 可 以 指派 到 用 户 或 者 组 。 


表 13-2 用 于 文件 的 访问 控制 权限 


访问 权限 说 明 

READ 进行 用 户 管理 、 重 新 配置 服务 器 以 及 管理 访问 控制 

WRITE 允许 用 户 修改 文件 的 内 容 

DELETE 允许 用 户 删除 文件 。 在 一 个 NTFS 文 件 系 统 上 ， 被 删除 的 文件 不 能 使 用 
磁盘 工具 来 恢复 

CHANGE PERMISSION 人 允许 拥有 这 种 特权 的 用 户 改变 文件 的 许可 

EXECUTE 执行 文件 一 一 如 果 文 件 是 一 个 程序 

TAKE OWNERSHIP 把 一 个 文件 的 所 有 者 关系 改变 到 另 一 个 用 户 

FULL OWNERSHIP 用 户 拥 有 上 面 所 有 的 访问 特权 


Windows NT 为 NTEFS 目 录 使 用 了 独立 的 访问 控制 权限 ， 如 表 13-3 所 示 。 
表 13-3 ”用 于 目录 的 访问 控制 权限 


COO 


访问 权限 说 明 
NO ACCESS 无 论 如 何 用 户 都 不 允许 访问 该 目录 
LIST 可 以 列举 该 目录 下 所 包含 的 文件 或 者 子 目录 
ADD 用 户 可 以 建立 新 文件 或 者 新 子 目录 
READ 用 户 可 以 显示 关于 文件 或 者 目录 的 信息 
ADD&READ 用 户 可 以 建立 新 目录 ， 显 示 谁 拥有 目录 以 及 目录 的 相关 访问 权限 
CHANGE 可 以 删除 目录 
FULL CONTROL 用 户 可 以 拥有 上 面 全 部 访问 权限 


当 把 用 于 文件 的 和 用 于 目录 的 访问 权限 结合 起 来 使 用 时 ， 管 理 员 可 以 定义 一 套 非 常 有 限 
制 性 的 访问 权限 。 同 前 一 章 所 介绍 的 UNIX 文 件 和 目录 许可 比较 起 来 ，Windows NT 的 实现 具 
有 一 些 优点 。 首 先 ， 许 多 UNIX 系 统 不 支持 灵活 的 ACL， 它 们 只 能 根据 用 户 的 分 类 、 组 以 及 其 
他 因素 来 指派 文件 或 者 目录 许可 。UNIX 用 来 保护 文件 和 目录 的 许可 也 只 限 三 种 ，READ、 
WRITE 和 EXECUTE。 对 于 那些 支持 在 目录 上 使 用 ACL 的 UNIX 系 统 来 说 ， 目 录 的 ACL 一 般 是 
不 可 继承 的 ， 即 不 能 传递 到 子 目 录 上 。 更 值得 注意 的 是 ， UNIX 只 能 把 这 些许 可 应 用 到 文件 和 
目录 上 ， 它 不 支持 对 大 范围 的 系统 资源 使 用 访问 权限 控制 ， 而 Windows NT 可 以 做 到 。 实 际 对 
比 结果 是 UNIX 资 源 访问 控制 同 Windows NT 的 比 起 来 : 全 面 性 不 够 、 粒 度 不 够 ， 并 且 更 难以 
管理 。 


13.1.3 NT 文件 系统 


Microsoft 为 Windows NT 创建 了 一 个 新 文件 系统 ， 称 做 NT 文件 系统 ( NTFS )。 设 计 NTFS 
的 目的 是 为 了 解决 Microsoft 使 用 的 传统 文件 系统 中 的 一 些 问 题 。 Microsoft 在 NTFS 中 添加 了 从 
系统 或 者 电源 故障 中 进行 恢复 而 不 会 导致 破坏 或 者 损坏 磁盘 驱动 器 的 能 力 。NTES 有 一 些 保 证 
其 数据 的 一 致 性 和 可 恢复 性 的 高 级 功能 。 并 且 ， NTFS 支 持 大 文件 和 大 磁盘 。 对 数据 元 余 的 支 
持 和 用 于 快速 文件 查找 的 一 个 改进 的 索引 方案 也 实现 了 。 但 相对 于 Microsoft 所 使 用 的 传统 文 
件 系统 来 说 ，NTFS 中 最 重要 的 改进 可 能 是 它 的 安全 性 。 
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NTFS 使 用 一 个 非常 类 似 于 UNIX 的 方法 来 保护 它 的 数据 和 目录 。NTFS 文 件 系统 中 的 每 个 
对 象 ， 包 括 文件 或 目录 ， 都 有 与 其 相关 的 安全 信息 。 该 信息 存放 在 安全 描述 符 里面 。 对 NTFS 
中 一 个 对 象 的 每 次 访问 请 求 都 会 引发 一 次 安全 性 测试 。 用 户 〔( 或 程序 ) 必须 提供 一 个 安全 访 
问 令 牌 ， 该 令 牌 证 明 他 们 是 有 效 的 用 户 。 用 户 的 标识 和 访问 令 牌 所 持 有 的 特权 ， 同 安全 描述 
符 中 的 访问 许可 进行 比较 。 如 果 访 问 令 牌 所 表示 的 授权 同安 全 描述 符 的 和 需要 相 一 致 ， 那 么 就 
会 授予 对 对 象 的 访问 权 。 如 果 不 一 致 ， 那 么 用 户 的 对 象 访 问 请 求 就 会 失败 。 

同 传统 的 UNIX 文 件 系统 比 起 来 ，NTFS 文 件 系统 在 安全 性 方面 有 几 个 优点 。 首 先 ， 前 面 
已 经 提 到 过 ，Windows NT 支持 很 多 访问 许可 。 这 使 得 系统 管理 员 可 以 为 NTFS 对 象 使 用 比 
UNIX 更 严格 的 安全 访问 设置 。UNIX 支 持 传统 的 RWX ( 读 、 写 和 执行 )， 这 些许 可 应 用 到 文 
件 所 属 的 用 户 、 组 成 员 以 及 所 有 其 他 用 户 上 。Windows NT 定义 了 7 个 许可 和 多 个 访问 控制 列 
表 。 另 一 个 优点 是 审计 已 经 设计 进 NTFS 的 基本 功能 里 了 。 但 最 重要 的 优点 是 NTFS 评 价 用 户 
请 求 所 基于 的 是 一 个 访问 令 牌 而 不 是 用 户 ID 。 在 UNIX 中 ， 擅 造 一 个 用 户 ID ( 在 前 面 关于 
UNIX 的 几 章 中 我 们 已 经 给 出 了 几 个 例子 ) 然后 向 文件 系统 提交 未 经 授权 的 请 求 是 相对 很 容易 
的 。Windows NT 所 使 用 的 访问 令 牌 是 很 难 伪造 的 。 它 们 也 包含 另外 的 安全 信息 ， 如 用 户 特 权 ， 
这 使 得 管理 员 在 是 否 授予 访问 权 这 个 问题 上 可 以 做 出 更 好 的 决策 。 

删除 的 对 象 不 可 重用 是 C2 安全 性 的 一 个 要 求 。 这 一 规则 还 适用 于 内 存 的 使 用 。 当 一 个 进 
程 在 内 存 中 结束 了 的 时 候 ， 其 内 存 区 域 就 被 清洗 ， 并 且 不 能 被 其 他 用 户 检 查 。Windows NTFS 
文件 系统 不 能 恢复 删除 ， 但 在 DOS 文 件 系统 下 可 以 。 

尽管 NTFS 支 持 一 个 先进 的 安全 模型 ， 但 Windows NT 系统 也 存在 着 一 些 缺 点 。Windows 
NT 系统 可 以 支持 很 多 不 同 的 文件 系统 ， 其 中 包括 MS-DOS 系 统 下 的 传统 文件 分 配 表 ( File 
Allocation Table，FAT ) 文件 系统 。FAT 文 件 系 统 相对 来 说 安全 性 很 差 。 一 个 Windows NT 系 
统 所 使 用 的 FAT 或 者 其 他 类 型 的 文件 系统 一 般 不 支持 前 面 所 介绍 的 NTFS 安 全 功能 。 这 些 文件 
系统 所 保存 的 数据 或 者 信息 很 容易 破坏 。 


13.2 连 网 


13.2.1 TCP/IP 服 务 


Windows NT 对 UNIX、Novell Netware 以 及 因特网 环境 中 的 许多 TCP/IP 连 网 服务 提供 支持 ， 
其 中 包括 对 通信 、 打 印 、 管 理 协议 ( 例如 SNMP ) 以 及 包括 telnet 和 FTP 在 内 的 传统 UNIX 通 信 
服务 的 支持 。 另 外 ，Windows NT 还 提供 了 对 因特网 gopher、 域名 服务 以 及 WWW 服 务 的 支持 。 
将 在 第 11 章 和 第 14 章 中 介绍 有 关 使 用 这 些 服 务 的 安全 人 性 问题 。 一 个 重要 的 事实 是 大 多 数 
TCP/IP 服 务 都 以 明文 的 形式 发 送 密 码 。 必 须要 认识 到 ， 当 使 用 了 TCP/IP 服 务 的 时 候 ， 这 个 问 
题 以 及 其 他 问题 在 Windows NT 环境 中 也 是 存在 的 。 


13.2.2 远程 访问 


Windows NT 为 希望 连接 到 Windows NT 环境 的 远程 用 户 提供 了 支持 。 远 程 访问 服务 
( Remote Access Service，RAS ) 提供 了 很 多 不 同 的 远程 连接 ， 其 中 包括 通过 电话 线 的 modem 
访问 和 X.25 访 问 。 串 行 线路 因特网 协议 〈 Serial Line Internet Protocol，SLIP ) 和 点 到 点 协议 
( Point-to-Point Procotol，PPP ) 支持 modem 访 问 。 用 户 通过 了 RAS 服 务 器 的 认证 以 后 ， 就 可 
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以 完全 访问 Windows NT 服务 ， 就 好 像 他 们 通过 LAN 连 接着 系统 一 样 。 一 个 RAS 连 接 可 以 使 用 
很 多 LAN 协 议 ， 这 包括 TCP/IP、IPX 以 及 NETBEUI。 

内 建 的 安全 机 制 是 RAS 服 务 的 一 个 强大 特性 。 同 Windows NT 操作 系统 的 许多 功能 一 样 ， 
RAS 支 持 很 多 选项 ， 为 计算 环境 选择 最 合适 的 选项 是 系统 管理 员 的 责任 。 用 户 的 认证 可 以 通 
过 使 用 PPP 挑 战 握手 认证 协议 (PPP Challenge Handshake Authentication，CHAP ) 或 者 密码 
认证 协议 (Password Authentication Protocol，PAP ) 来 提供 。 这 两 个 协议 都 可 以 保护 密码 ， 
它们 不 使 用 明文 形式 在 线路 上 传输 密码 。 二 者 之 中 ，CHAP 使 用 了 一 个 强大 的 认证 机 制 ， 它 是 
首选 的 。 应 该 指出 ，CHAP 是 一 个 PPP 机 制 ， 它 在 SLIP 上 不 受 支 持 。 它 可 以 同 DES 或 者 MD5 加 
密 一 起 使 用 。 

RAS 接 收 到 用 户 ID 和 密码 以 后 , 用 户 就 会 被 Windows NT 安全 服务 以 正常 的 方式 进行 认证 。 
即使 客户 对 于 本 地 域 来 说 是 未 知 的 ， 他 们 也 可 以 登录 一 一 如 果 他 们 是 一 个 可 信 域 中 的 成 员 。 
RAS 的 一 个 更 好 的 功能 是 安全 管理 员 可 以 确定 一 个 RAS 用 户 的 活动 范围 。 管 理 员 可 以 决定 独 
立 RAS 用 户 是 否 应 该 对 完整 Windows NT 域 具有 访问 权 ， 或 者 限制 到 那些 由 本 地 RAS 服 务 器 提 
供 的 服务 。Windows NT 支持 回 拨 控 制 一 一 它 要 求 RAS 中 断 认证 过 程 、 断 开 用 户 、 并 对 一 个 预 
定义 的 电话 号 码 进行 回 氢 。 也 支持 所 有 流量 的 数据 加 密 。 RAS 使 用 RC4 数 据 加 密 算法 ， 它 可 
以 以 一 个 安全 的 方式 同一 个 客户 机 处 理 RC4 能 力 (如 Windows NT 客户 ) 进行 通信 。 

Microsoft 也 提供 了 很 多 应 用 编程 接口 ( API )， 这 些 API 使 得 第 三 方 产品 可 以 结合 进 RAS 
中 。 例 如 Security Dynamics 的 一 次 密码 SecureID 产 品 可 以 集成 进 RAS 中 。Windows NT 操作 系 
统 的 C2 类 审计 功能 已 经 扩展 到 RAS。 很 多 事件 的 成 功 或 失败 ,包括 连 接 、 由 于 认证 失败 或 者 
无 交互 导致 的 断 开 连接 以 及 协议 失败 都 可 以 审计 。 定义 适当 的 审计 级 别 是 RAS 管 理 员 的 责任 。 


13.2.3 审计 和 报警 


Windows NT 操作 系统 为 C2 类 审计 ( 由 美国 国防 部 桔 皮 书 定义 ) 提供 了 支持 。C2 规 定 了 
审计 跟踪 ， 它 可 以 对 很 多 事件 的 成 功 或 失败 进行 日 志 纪录 。 这 些 事件 可 以 包括 用 户 的 登录 或 
注销 、 文 件 或 资源 访问 、 对 安全 环境 的 改变 或 者 安全 策略 改变 。 在 Windows NT 系统 上 可 以 维 
护 很 多 审计 跟踪 ,它们 包括 同 操作 系统 活动 相关 的 事件 、 对 安全 环境 的 改变 以 及 同 应 用 程序 
相关 的 信息 。 需 要 注意 到 ， 同 大 多 数 审计 眼 踪 -一样 ，Windows NT 审计 跟踪 也 存在 于 本 地 系统 
上 。 如 果 保 护 审计 跟踪 的 许可 是 松散 的 ， 或 者 一 个 用 户 可 以 得 到 ADMINISTRATOR 特 权 ， 那 
么 本 地 审计 跟踪 就 可 以 自 改 ， 从 而 破坏 其 完整 性 。 

对 其 他 安全 机 制 的 支持 

Windows NT 提供 了 很 多 应 用 编程 接口 ， 它 们 允许 定制 的 应 用 程序 和 第 三 方 产品 集成 进 环 
境 中 。 然 而 ， 这 些 API 是 专 有 的 ， 它 们 不 是 基于 工业 标准 的 。Windows NT 为 OSF/DCE 环 境 提 
供 了 有 限 的 、 但 非 全 部 的 支持 。 尽管 Microsoft 提 供 的 远程 过 程 调用 同 OSF 规 范 是 兼容 的 ， 但 
是 它们 并 不 是 直接 从 OSF 规 范 创建 的 。 并 且 ，Windows NT 不 支持 全 部 的 DCE 服 务 。 将 在 第 16 
章 和 第 17 章 介绍 DCE 服 务 。 


13.2.4 Windows NT 安全 凤 


在 Windows NT 的 安全 功能 设计 中 ，Microsoft 有 能 力 理解 许多 老式 的 操作 系统 所 面 对 的 安 
全 问题 。 通 过 理解 这 些 问题 ，Microsoft 能 够 解决 Windows NT 的 设计 中 的 很 多 问题 。 这 也 说 明 ， 
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一 个 实现 拙劣 的 Windows NT 服务 器 同 任何 其 他 类 型 的 服务 器 一 样 易 受 攻击 。 不 安全 的 GUEST 
”账号 的 使 用 、 不 正确 的 访问 特权 和 松散 的 访问 控制 许可 会 导致 一 个 很 容易 受 攻击 的 计算 机 系 
统 。 第 三 方 已 经 认识 到 了 这 个 问题 ， 并 正在 提供 解决 方案 。 例 如 ，Intrusion Detection 公 司 的 
Kane Security Analyst 能 够 分 析 和 报告 Windows NT 系统 的 整体 安全 性 。 密 码 猜测 和 特洛伊 木 
马 攻击 仍旧 威胁 着 Windows NT 环境 。Windows NT 上 的 TCP/IP 服 务 ， 包 括 telnet 和 FTP 在 内 ， 
同 其 在 其 他 平台 上 一 样 容易 遭 到 密码 探查 攻击 。 


13.3 结论 


Windows NT 环境 专门 设计 来 克服 其 他 计算 机 平台 上 特别 是 UNIX 系 统 上 的 许多 普遍 的 安 
全 问题 。Windows NT 达到 了 C2 安全 级 别 , 但 是 许多 其 他 的 计算 环境 也 达到 了 或 者 支持 该 标准 。 
对 于 Windows NT 的 整体 安全 性 来 说 ， 一 个 重要 的 因素 是 该 操作 系统 的 源 代码 仍然 受到 
Microsoft 的 严格 保护 。 但 是 这 不 会 阻止 有 兴趣 的 人 们 去 发 现 缺 陷 或 者 bug 并 利用 它们 。 虽 然 
Microsoft 已 经 提出 了 一 - 些 标准 ， 但 是 Windows NT 无 疑 并 不 全 部 符合 它们 。Windows NT 控制 
的 专 有 性 是 个 问题 。 关 于 Windows NT 的 一 个 关键 问题 是 新 兴 的 安全 标准 是 否 能 轻松 地 结合 进 
该 产品 中 。 如 果 能 ， 那 么 Windows NT 应 该 能 够 保留 它 的 作为 一 个 安全 的 和 开放 的 计算 平台 的 
声明 ; 如 果 不 能 ，Witdows NT 可 能 会 成 为 另 一 个 孤立 的 操作 系统 ， 它 会 复杂 化 而 不 是 帮助 解 
决 分 布 式 计算 中 的 安全 性 挑战 。 
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和 站 


因特网 服务 Java _ 

公司 使 用 因特网 PC 
因特网 上 的 商务 防火 墙 组 件 

问题 一 个 典型 的 防火 墙 
安全 需求 构建 还 是 购买 ? 


标准 和 技术 因特网 可 接受 的 使 用 策略 





因特网 在 许多 方面 都 类 似 于 蛮荒 之 境 。 基 本 上 ， 它 是 一 片 没有 法 律 的 地 方 ， 所 有 的 只 是 
用 户 间 的 互相 约束 。 因 为 没有 法 律 没有 看 守 ， 所 以 安全 暴露 的 可 能 性 是 非常 大 的 。 为 得 到 连 
接 的 大 量 可 用 信息 和 狂热 成 了 得 到 窃听 的 强制 理由 。 当 连接 到 一 个 像 因 特 网 这 样 的 不 可 信和 网 
络 时 ， 所 涉及 到 的 具体 安全 问题 ， 必 须要 实现 。 

许多 组 织 或 者 已 经 连 上 因特网 了 ， 或 者 正 计划 准 备 连 上 因特网 。 据 报道 说 现在 有 超过 2 二 
万 到 3 千 万 的 人 已 经 上 网 了 ， 但 是 估计 数据 还 会 大 幅 变化 。 因 特 网 已 经 成 为 世界 的 商业 管道 ， 
但 不 幸 的 是 ， 它 也 成 了 非法 人 侵 计 算 机 系统 和 网 络 的 一 个 焦点 。 对 于 因特网 的 使 用 ， 组 织 有 
很 多 问题 需要 回答 。 

一 个 组 织 如 何 能 够 对 公司 内 部 网 和 因特网 之 间 的 访问 做 到 最 佳 控制 呢 ? 哪 类 公司 信息 多 
许 流向 因特网 呢 ? 业务 伙伴 、 客 户 与 或 者 公众 允许 访问 内 部 网 络 上 的 应 用 程序 和 系统 吗 ? 如 
果 可 以 ， 那 么 应 该 对 他 们 的 访问 进行 什么 限制 ? 中 心 问 题 是 一 个 组 织 如何 能 够 有 效 地 利用 因 
特 网 开展 业务 。 这 个 问题 涉及 到 很 多 方面 , 但 其 中 必须 要 解决 的 关键 是 安全 问题 。 

在 本 章 中 ,将 讨论 一 些 使 用 因特网 的 业务 问题 ,介绍 一 些 使 用 这 种 不 可 信 网 络 的 具体 风 
险 ， 并 提供 一 些 可 以 用 来 解决 这 些 问题 的 方法 。 


14.1 因特网 的 概念 


首先 我 们 来 解释 一 下 什么 是 因特网 ， 并 说 明 一 些 涉 及 到 的 术语 和 技术 。 因 特 网 最 初 并 不 
打算 设计 成 今天 这 么 流行 的 世界 网 络 。 因 特 网 的 开始 是 在 1969 年 ， 当 时 美国 国防 部 委托 高 级 
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研究 计划 署 ( Advanced Research Projects Agency，ARPA ) 进行 网 络 协议 研究 。1973 年 ， 传 
输 控制 协议 (Transmission Control Protocol，TCP ) /因特网 协议 (JInternet Protocol，IP ) 作 
为 一 项 用 于 计算 机 通信 的 标准 网 络 协议 提出 。1983 年 ， 加 州 大 学 伯克利 分 校 的 UNIX 操 作 系 统 
发 布 版 本 包括 了 该 网 络 协议 ，TCP/IP 开 始 迅速 流行 。 因 为 ARPA 在 其 网 络 中 所 使 用 的 许多 计算 
机 都 使 用 UNIX， 所 以 TCP/IP 成 了 事实 上 的 标准 。 

美国 国家 科学 基金 会 (U.S. National Science Foundation，NSF ) 在 1986 年 开始 涉足 网 络 
领域 ， 并 为 超级 计算 中 心 之 间 的 快速 互 连 提供 了 资金 。 这 为 网 络 建立 起 了 一 个 高 速 主干 。 因 
特 网 开始 演变 成 一 个 连接 大 学 、 研 究 中 心 以 及 公司 的 共享 网 络 。 截 止 到 1995 年 ， 因 特 网 已 经 
快速 增长 成 一 个 包含 几 百 万 台 机 器 和 数 千 万 用 户 的 网 络 。 因 特 网 的 控制 已 经 移 到 私人 兴趣 上 。 
因特网 已 经 从 一 个 政府 资助 的 小 型 研究 项 目 长 成 世界 范围 内 的 计算 机 通信 网 络 。 因 特 网 的 兴 
趣 和 增长 是 不 可 阻挡 的 。 

术语 因特网 用 来 描述 公共 网 络 通信 ， 实 际 上 它 是 由 多 个 使 用 TCP/IP 协 议 的 服务 组 成 的 。 
TCP/IP 网 络 协 议 实际 上 是 由 多 个 用 于 不 同 目的 的 协议 组 成 的 集合 。TCP/IP 的 某 些 性 质 使 得 它 
对 军事 应 用 非常 有 吸引 力 。TCP/IP 是 基于 动态 包 路 由 协议 的 。 一 个 大 型 TCP/IP 网 络 的 主 段 可 
以 破坏 或 者 禁用 而 不 会 破坏 仍旧 在 进行 通信 的 网 络 节点 的 能 力 。 在 第 7 章 中， 我 们 已 经 看 到 了 
使 用 TCP/IP 协 议 来 建立 通信 是 非常 容易 的 。 在 主要 用 于 学 术 研 究 目的 基于 TCP/IP 的 网 络 中 ， 
安全 性 从 来 不 是 一 个 重要 的 设计 考虑 。 事 实 是 这 种 连 网 能 力 是 普遍 的 和 强大 的 ， 但 它 也 会 带 
来 安全 问题 。 


14.1.1 因特网 服务 


因特网 主要 是 因为 一 些 利用 网 络 的 服务 而 出 名 。 最 著名 的 服务 是 万 维 网 (World Wide 
Web，WWW )， 它 是 最 近 流 行 的 服务 之 一 。 做 为 把 散布 在 几 台 计算 机 上 的 技术 文档 组 织 起 来 
的 一 个 方法 ，WWW 技 术 在 1989 年 开发 出 来 。 使 用 超 文 本 标记 语言 ( Hypertext Markup 
Language，HTML )， 这 些 文档 链接 起 来 (HTML 提供 了 从 一 个 文档 链 到 另 一 个 文档 的 指针 )。 
基于 HTML 的 浏览 器 软件 的 开发 使 得 人 们 可 以 通过 引用 这 些 指针 来 访问 和 显示 文档 。 沿 着 嵌 
入 的 链接 ， 基 于 HTML 文 档 的 信息 可 以 根据 许多 路 径 来 引用 。 浏 览 器 软件 的 发 展 为 用 户 带 来 
了 图 形 、 声 音 、 甚 至 动画 。 大 多 数 近来 的 商业 因特网 人 口 开始 使 用 WwW 技术 来 使 得 信 息 可 
用 。 初 始 的 业务 因特网 是 建立 HTML 网 页 以 使 得 可 以 公开 访问 公司 信息 。 

文档 是 使 用 超 文本 传输 协议 〈 Hypertext Transfer Protocol，HTTP ) 而 获得 的 。 HTTP 是 在 
网 页 和 浏览 器 之 间 传 递 信 息 所 需要 的 协议 。 它 使 用 统一 资源 定位 符 ( Uniform Resource 
Locators，URL ) 来 定位 HTMI 文 档 。URL 定 义 了 一 个 引用 具体 文档 、 图 像 或 者 其 他 Web 资 源 
的 统一 地 址 。HTML 文 档 可 以 把 指向 其 他 HTML 文档 的 URL 内 嵌 进 文档 中 。HTML 定 义 了 链接 
的 格式 ， 而 HTTP 定 义 了 如 何 从 Web 服 务 器 提取 本 地 Web 文 档 。 

可 以 把 URL 想 像 成 一 个 用 来 指引 图 书馆 中 一 本 书 位 于 什么 地 方 的 索引 卡 。 我 们 可 以 使 用 
这 个 卡 来 定位 (HTML ) 文档 的 物理 位 置 。 如 果 有 一 本 书包 含 了 更 多 的 索引 卡 ， 这 些 卡 片 指 
出 了 另外 的 相关 信息 的 位 置 ， 那 么 会 如 何 呢 ? 这 些 另 外 的 信息 其 形式 可 以 是 另 一 本 书 、 一 幅 
图 画 或 者 一 盒 磁 带 。 我 们 可 以 沿 着 这 些 URL 而 得 到 这 些 信息 ， 而 不 总 是 回 到 主 图 书馆 索引 。 
如 果 这 些 信息 分 布 在 不 同城 市 的 几 个 不 同 馆 中 呢 ? HTTP 可 以 跟踪 信 息 线索 而 无 需 考 虚 它 在 哪 
里 ， 并 以 一 个 可 以 理解 的 格式 把 它 提供 给 我 们 。 
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其 他 使 用 因特网 的 流行 服务 还 包括 文件 传输 协议 ( File Transfer Protocol，FTP )、 域 名 系 
统 (Domain Name System，DNS ) 以 及 电子 邮件 。FTP 是 用 来 把 文件 从 一 台 主 机 计算 机 传输 
到 另 一 台 机 器 的 协议 。 当 前 的 WWW 浏 览 器 也 支持 FTP 服 务 。DNS 人 允许 客户 机 确定 ,或 者 说 解 
析 ， 一 台 服 务 器 的 IP 地 址 一 一 使 用 DNS， 同 服务 器 联系 可 以 只 使 用 它 的 因特网 名 。 电 子 邮 件 
是 因特网 上 另 一 个 可 用 的 常见 服务 。 把 电子 邮件 地 址 印 到 名 片上 已 经 成 了 很 平常 的 事 儿 ， 电 
子 邮件 地 址 已 经 变 得 同 通常 业务 地 址 、 电 话 以 及 传真 号 码 一 样 重要 。 因 特 网 上 还 有 其 他 一 些 
可 用 的 服务 ， 限 于 篇 幅 关 系 ， 这 里 不 做 介绍 了 。 

有 关 管 理 因特网 服务 的 更 详细 信息 ， 我 向 读者 推荐 两 本 非常 流行 的 书 ，Cricket Liu: Liu， 
Peek，Jones，Buus 以 及 Nye[1994] 和 Liu、Albitz[1992]。 


14.1.2 公司 使 用 


对 于 想 提供 和 访问 信息 的 公司 来 说 ， 因 特 网 已 经 成 为 一 个 非常 有 趣 和 非常 有 吸引 力 的 媒 
介 。WWW 提 供 信息 的 能 力 犹如 为 组 织 打开 了 一 道 研究 如 何 才能 利用 因特网 的 大 门 。 大 量 的 
宣传 和 支持 因特网 使 用 的 技术 产品 和 服务 的 出 现 推动 着 这 一 切 。 关 于 因特网 的 使 用 ， 公 司 应 
该 注意 两 个 基本 问题 ， 公 司 如 何 把 因特网 应 用 到 自己 的 业务 上 ? 公司 如 何 使 用 因特网 来 赚 
钱 ?第 二 个 问题 并 不 总 是 随 着 第 一 个 问题 。 尽 管 因特网 为 业务 增长 表现 出 了 一 个 有 了 吸引 力 的 
前 景 ,但 是 它 也 带 来 了 新 的 挑战 、 机 会 和 考虑 。 

因特网 的 主要 好 处 之 一 是 访问 大 量 在 线 信息 的 能 力 。 因 特 网 能 够 提供 其 他 地 方 没有 的 多 
种 类 型 的 交互 式 信息 。 公 司 可 以 利用 这 一 点 来 提供 关于 其 产品 和 服务 的 多 种 信息 。 这 可 以 包 
括 文本 、 图 形 、 声 音 记 录 、 甚 至 视频 。 当 前 的 挑战 之 一 是 知道 你 正在 向 谁 提供 信息 。 你 不 会 
总 是 知道 谁 正在 访问 你 提供 的 信息 或 者 他 们 如 何 使 用 这 些 信息 。 

在 因特网 上 ， 提 供 者 和 信息 及 服务 的 使 用 者 之 间 的 关系 是 多 对 多 的 和 任意 对 任意 的 关系 。 
因特网 常常 说 成 提供 A4 服 务 : 访问 (access )、 任 意 时 间 (anytime )、 任 意 地 点 ( anywhere ) 
和 对 任何 人 (anybody )。 在 很 多 方面 ， 如 何 使 用 因特网 的 决定 是 由 用 户 群体 做 的 。 用 户 在 指 
示 提 供 者 提供 什么 信息 或 者 如 何 提供 信息 。 例 如 ， 业 务 应 该 支持 Web 浏 览 器 的 功能 而 不 是 指 
示人 们 应 该 如 何 访问 信息 。 

根据 组 织 具 有 的 或 者 希望 同 用 户 保持 的 关系 类 型 ， 因 特 网 的 业务 使 用 可 以 分 成 几 类 。 这 
些 类 别 说 明了 信息 提供 者 和 预期 访问 者 之 间 的 关系 。 提 供给 用 户 的 信息 或 应 用 程序 的 类 型 同 
它 是 如 何 提供 的 是 不 同 的 ， 这 取决 于 预期 的 关系 。 对 于 因特网 关系 来 说 ， 一 个 基本 问题 是 是 
否 需 要 单独 标识 访问 信息 的 人 。 

1. 公司 信息 

第 一 类 一 般 说 明了 大 多 数组 织 对 因特网 的 初次 使 用 。 组 织 使 用 WWW 服 务 器 来 提供 有 关 
公司 和 公司 产品 及 服务 的 信息 。 这 类 使 用 可 能 包括 对 普通 公司 信息 、 办 公 位 置 、 如 年 度 或 
者 季度 报告 之 类 的 官方 公司 信息 以 及 产品 说 明和 可 用 性 信息 的 访问 。 使 用 因特网 来 提供 这 
类 信息 要 比 使 用 使 用 传统 的 打印 和 散发 更 迅速 更 便宜 。 对 于 深入 的 产品 技术 信息 来 说 ,使 
用 因特网 来 提供 要 比 使 用 传统 的 产品 手册 更 加 详细 。 公 司 网 页 也 可 以 用 来 提供 相关 的 业界 
信息 ， 并 且 可 以 链接 到 其 他 对 用 户 有 价值 的 因特网 地 点 上 。 但 在 使 用 因特网 来 发 布 特定 类 
型 的 财政 数据 之 前 ， 公 司 需 要 考虑 一 些 问题 。 例 如 在 某 些 国家 里 ， 在 线 提 供 财政 计划 书 可 
能 会 违反 法 律 。 
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2. 公司 对 新 客户 

有 些 公 司 扩大 了 他 们 的 因特网 使 用 范围 ， 他 们 在 网 上 提供 产品 分 类 ， 并 人 允许 客户 通过 因 
特 网 来 提交 购买 那些 产品 的 订单 。 业 务 关 系 现在 已 经 扩展 到 了 标识 的 个 体 上 ， 而 不 仅仅 是 组 
织 的 已 有 客户 。 在 线 产 品 分 类 和 产品 订单 对 于 服装 店 、 书 店 或 者 其 他 传统 邮购 业务 来 说 是 非 
常 流行 的 。 把 产品 分 类 提供 给 公众 的 能 力 在 公司 的 当前 邮件 列表 之 外 提高 了 销量 。 如 果 要 有 
效 地 开展 这 种 类 型 的 业务 操作 ， 需 求 之 一 是 建立 一 个 配送 网 络 来 处 理 这 些 通过 网 络 收集 的 订 
单 。 如 果 要 把 业务 推 到 因特网 上 ， 同 样 需 要 考虑 一 些 问 题 ， 如 税收 和 出 口 控制 等 。 

. 另 一 个 流行 的 地 方 是 提供 客户 支持 的 能 力 。 几 家 公司 为 他 们 的 产品 提供 具体 的 客户 支持 
服务 。 这 种 支持 服务 可 以 在 很 大 程度 上 自动 化 。 软 件 可 以 用 来 提供 自动 支持 信息 以 回答 客户 
的 问题 。 另 外 ， 软 件 可 用 性 和 发 布 也 是 因特网 的 一 个 使 用 领域 。 几 个 计算 机 醒 件 和 软件 公司 
通过 因特网 来 提供 如 驱动 程序 或 者 补丁 和 更 新 包 之 类 的 软件 。 

3. 公司 对 现 有 客户 

这 种 类 型 的 因特网 关系 扩展 到 了 公司 的 现 有 客户 上 。 因 特 网 可 以 为 现 有 客户 提供 一 个 对 
公司 系统 的 替代 访问 方法 。 这 种 访问 可 以 扩展 到 个 人 财政 账号 和 事务 执行 上 。 几 个 银行 提供 
了 对 客户 账号 信息 的 访问 ， 并 且 一 些 银行 已 经 提供 了 对 其 客户 提交 银行 事务 的 能 力 。 另 一 个 
例子 是 得 到 依靠 时 间 的 客户 具体 信息 的 能 力 。 例 如 ， 一 个 信使 公司 可 以 向 客户 提供 跟踪 其 包 
囊 传 送 过 程 的 能 力 。 

4. 公司 对 公司 

因特网 正在 用 做 提供 公司 到 公司 通信 ( 如 加 入 伙伴 工程 或 者 支持 业界 组 织 ) 的 通信 机 制 。 
许多 组 织 为 了 有 关 其 工作 的 信息 而 维护 网 站 。 如 对 象 管理 组 (Object Management Group， 
OMG ) 之 类 的 标准 体 使 用 WWW 来 提供 有 关 标准 发 布 文档 、 标 准 过 程 进度 以 及 会 议 备 忘 等 信 
息 。 这 些 信 息 是 为 标准 体 的 参与 者 或 者 其 他 感 兴趣 的 人 而 提供 的 。 

因特网 也 用 来 支持 一 些 经 过 选择 的 技术 的 联合 开发 工作 ， 这 甚至 是 在 竞争 对 手 之 间 进 行 。 
例如 ， 一 个 大 规模 的 开发 工程 可 能 需要 儿 家 转 包 商 的 参与 ， 其 中 每 家 都 提供 原料 或 者 组 件 。 
因特网 可 以 用 来 共享 工程 信息 并 提供 一 个 消息 通信 途径 。 使 用 电子 数据 交换 〈 Electronic Data 
Interchange，EDI ) 来 交换 商业 文档 也 是 因特网 使 用 的 应 用 领域 。 

5. 公司 内 部 “Intranet” 

公司 可 以 利用 因特网 技术 的 优点 ， 但 不 连接 到 外 部 因特网 上 。 企 业内 部 网 (Intranet ) 是 
用 来 描述 因特网 技术 的 内 部 使 用 的 术语 。 许 多 公司 已 经 把 因特网 WWW 技 术 建 立成 提供 和 维 
护 内 部 信息 以 供 自己 员工 使 用 的 一 个 标准 方法 。 这 种 使 用 的 例子 包括 访问 公司 每 日 新 闻 、 内 
部 电话 目录 、 包 括 津贴 程序 和 工作 应 聘 在 内 的 人 力 资源 信息 、 专门 设计 的 内 部 支持 应 用 程序 、 
技术 信息 、 内 部 软件 可 用 性 和 发 布 、 部 门 通 信 〈 内 部 网 页 ) 以 及 到 其 他 分 公司 或 者 部 门 主页 
的 链接 。 同 传统 的 纸张 文档 比 起 来 ， 使 用 这 种 方法 来 提供 和 访问 信息 开销 更 低 ， 这 是 这 种 方 
法 的 一 个 主要 好 处 。 


14.1.3 因特网 上 的 业务 


-对 于 因特网 的 业务 使 用 来 说 ， 一 个 很 自然 的 扩展 是 把 这 种 不 可 信 网 络 上 的 商业 事务 包括 
进来 。 这 是 一 个 非常 激动 人 心 的 前 景 ， 但 是 它 有 很 多 的 安全 问题 。 当 我 们 谈论 网 上 商务 时 ， 
一 般 指 的 是 财务 或 者 同 财务 相关 的 事务 的 传输 。 商 业 应 用 要 求 事务 双方 能 够 互相 认证 并 能 够 
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机 密 地 进行 业务 事务 。 对 于 这 些 商 务 事务 来 说 ， 一 个 更 重要 的 安全 元 素 可 能 是 认可 。 我 们 需 
要 确信 这 些 事务 是 真实 的 和 有 效 的。 事实 上 ， 当 使 用 Web 浏 览 器 和 其 他 因特网 业务 时 客户 的 
安全 性 必须 同 与 自动 柜员 机 或 者 其 他 银行 机 制 打交道 时 的 安全 性 相似 。 

当 使 用 因特网 来 传输 那些 使 用 已 建立 的 付款 方法 如 使 用 信用 卡 或 者 支出 卡 ) 的 事务 时 ， 
一 般 需 要 涉及 到 5 个 方面 ， 信 用 卡 /支出 卡 的 发 行者 、 出 售 商品 的 销售 商 、 购 买 商品 的 顾客 、 
事务 的 捕获 者 〈 例如 销售 商 使 用 的 银行 ) 以 及 一 些 安全 管理 局 使 用 的 保证 事务 安全 的 方法 。 
因特网 服务 需要 同一 性 和 机 密 性 ， 这 些 事务 类 型 中 快速 增长 的 利益 促使 有 能 够 满足 这 种 需要 
的 方法 。 公 共 安 全 管理 局 的 可 用 性 有 助 于 促进 因特网 上 的 商业 事务 。. 


14.1.4 问题 


当 计算 机 黑客 使 用 因特网 进行 非法 系统 访问 时 ， 因 特 网 的 安全 问题 就 引起 了 广泛 的 注意 。 
1995 年 1 月 ， 一 个 虽 做 Kevin Mitnick 的 计算 机 黑客 (也 称 做 “Condor”) 在 卡 来 罗 纳 州 速 捕 了 。 
他 被 怀疑 非法 使 用 蜂窝 电话 系统 获得 因特网 的 访问 并 为 其 非法 入侵 许多 计算 机 系统 提供 机 会 。 
他 是 在 一 个 非常 著名 的 计算 机 安全 研究 人 员 Tsutomu Shimomura 的 辅助 下 逮捕 的 。 使 用 他 的 知 
识 和 特殊 工具 ，Shimomura 帮 助 安全 局 跟踪 Condor。 据 说 Condor 访 问 了 Shimomura 自 己 的 系统 
并 偷 取 了 有 价值 的 信息 。 研 究 人 员 通 过 监视 Condor 的 行为 ， 然 后 在 电话 技术 员 的 辅助 下 ， 并 
同 FBI 一 起 工作 ， 他 们 能 够 跟踪 Condor 到 一 个 特定 的 房间 。 因特网 最 有 趣 的 方面 之 一 是 没有 任 
何 安全 中 心 来 拥有 、 管 理 、 控 制 或 者 维 治 因特网 。 这 常常 是 因特网 最 令 人 费解 的 一 方面 。 当 
出 现 了 安全 问题 或 者 安全 情况 时 ， 问 题 “ 为 什么 某 人 不 做 某 事 呢 ?“ 就 会 经 常 提 道 。 虽 然 计 
算 机 紧急 响应 组 ( Computer Emergency Response Team， CERT ) 和 事故 响应 论坛 和 安全 组 
( Forum of Incident Response and Security Teams，FIRST ) 在 出 现 安全 事故 的 时 候 可 用 于 因 特 
网 用 户 ， 但 是 没有 任何 可 以 求助 的 管理 局 。 这 种 中 心 控制 或 者 管理 中 心 的 缺乏 带 来 了 一 些 额 
外 的 挑战 ， 这 使 得 许多 业务 难以 开展 。 

对 网 页 的 链接 和 网 页 的 可 用 性 都 是 很 脆弱 的 。 如 果 他 们 变 得 不 可 用 ， 那 么 央 天 喊 地 根本 
没有 用 。 改 变 管理 是 不 存在 的 。 WwW 链接 和 网 页 可 以 在 没有 任何 警告 的 情况 下 出 钢 或 者 消 
” 失 。 使 用 因特网 发 送 的 消息 是 否 会 传送 是 根本 没有 保证 的 。 除非 实现 了 特殊 的 机 制 来 提供 一 
个 确认 ， 否则 根本 没有 任何 方法 来 知道 一 条 消息 是 传送 成 功 还 是 失败 。 ， 


14.1.5 安全 需求 


把 网 络 连 到 因特网 上 跟 不 在 家 时 把 门 散 开 是 非常 像 的 。 可 以 邀 请 任何 人 来 欣赏 你 们 家 四 
室 中 墙 上 的 艺术 品 ， 或 者 浏览 书房 中 的 书 。 可 以 锁 上 其 他 房间 的 门 以 防止 别人 进入 。 甚 至 可 
以 把 进入 上 锁 房间 的 钥匙 拿 给 那些 经 过 挑选 的 人 。 如 果 有 个 人 拾 到 了 其 中 一 个 铀 匙 ， 接 着 进 
入 房间 ， 打 了 个 转 ， 然 后 再 重新 锁 上 门 ， 那 么 你 如 何 知道 呢 ? 你 如 何 才能 证 明 只 有 具有 铀 是 
的 人 才 进 入 过 房间 ? 除非 有 一 个 来 客 蚕 ， 否 则 你 不 会 知道 谁 曾 来 过 你 那 向 着 门 的 家 。 我 确信 ， 
如 果 你 曾经 把 家 门 散 开 过 ， 那 么 肯定 会 施 以 严格 的 控制 以 保证 你 不 在 家 时 的 安全 。 

当 使 用 因特网 但 却 有 一 些 新 方法 的 时 候 ， 安 全 性 就 是 必须 的 了 ， 这 包括 认证 、 机 密 性 和 
授权 。 当 使 用 一 个 不 可 信和 网 络 时 ， 对 认证 、 机 密 性 和 认可 的 需要 变 得 更 重要 了 。 安 全 性 在 网 
络 消 息 的 内 容 和 传输 两 个 方面 都 是 必 和 需 的 。 因 特 网 就 如 同一 个 黑色 费 径 ， 在 那里 ， 你 不 知道 
谁 正 潜伏 在 阴影 里 。 如 果 消 息 或 者 数据 没有 通过 一 个 机 密 机 制 ( 如 加 密 ) 来 予以 保护 的 话 ， 
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那么 你 不 会 知道 谁 能 看 到 你 在 网 上 所 发 的 东西 。 

使 用 因特网 的 另 一 个 问题 是 一 个 人 或 者 东西 可 能 不 是 它 所 表现 的 那个 人 或 者 那个 东西 。 
在 第 7 章 中 ， 我 们 已 经 看 到 了 操纵 TCP/P 包 信息 是 多 人 么 的 容易 。 并 且 特 别提 到 了 在 欺骗 的 攻击 
中 修改 包 地 址 。 坎 骗 已 经 用 来 人 侵 安 全 系统 ， 其 所 凭借 的 是 模仿 一 个 目标 系统 所 信任 的 系统 
的 能 力 。 邮 件 发 送 者 的 标识 可 以 被 欺骗 ， 并 且 生 成 邮件 的 地 点 也 难 逃 厄运 。 如 果 没 有 严格 的 
认证 和 认可 ,那么 你 不 可 能 证 明 信 息 的 真实 性 或 者 个 体 的 同一 性 。 

使 用 数字 签名 来 验证 标识 并 保留 消息 的 完整 性 是 解决 这 个 问题 的 一 个 方法 。 管 理 和 校 验 
这 些 签名 的 标准 方法 是 必需 的 。 如 果 你 不 熟悉 某 个 人 的 签名 ， 不 知道 它 是 不 是 可 信和 的 ， 那 么 
它 不 会 给 你 带 来 什么 好 处 。 提 供 签名 的 认证 需要 使 用 公共 证 明 管 理 局 。 在 下 面 的 一 章 中 ， 将 
详细 介绍 证 明 管 理 局 的 使 用 。 

当 连 接 到 因特网 上 后 ， 需 要 能 够 保护 你 的 内 部 网 络 免 遭 未 经 授权 的 入 侵 ， 这 是 一 个 明显 
的 安全 需求 。 本 章 第 二 节 的 内 容 是 关于 防火 墙 的 ， 这 一 节能 够 给 你 一 个 如 何 继续 的 思路 。 能 
够 为 员工 提供 对 因特网 的 访问 ， 或 者 把 公司 网 络 向 客户 、 顾 客 、 业 务 伙伴 以 及 合约 人 员 开放 ， 
是 有 很 多 好 处 的 。 你 可 能 想 允 许 对 特殊 信息 或 应 用 、 或 者 对 特殊 个 人 的 访问 。 


14.1.6 标准 和 技术 


新 技术 应 用 的 快速 增长 和 发 展 所 带 来 的 负面 效应 之 一 是 导致 了 大 量 的 标准 冲突 ， 这 是 很 
常见 的 。 由 于 因特网 的 大 小 和 增长 ， 标 准 竞争 中 的 获胜 者 可 能 有 让 人 吃惊 的 影响 ， 并 且 是 一 
个 极 好 的 机 会 。 为 了 提供 用 于 所 有 安全 问题 的 解决 方案 ， 正 在 进行 大 量 的 开发 和 配置 。 做 为 
结果 ， 正 在 同时 宣传 几 个 不 同 的 标准 。 究 竞 哪 个 标准 将 广泛 接受 ， 且 前 还 有 待 观察 。 

安全 HTTP ( S-HTTP ) 是 对 HTTP 协 议 的 一 个 扩展 ， 它 为 建立 会 话 提供 了 认证 和 加 密 功 能 。 
S-HTTP 实 际 上 支持 很 多 用 于 客户 机 和 服务 器 的 安全 选项 。 客 户 机 和 服务 器 协商 使 用 何 种 加 窗 
机 制 来 保证 消息 的 安全 性 。 这 种 方法 能 提供 端 到 端 加 密 ， 并 且 对 于 安全 事务 来 记 理 过 有， ， 
但 是 它 受 限于 HTTP 协 议 。 

安全 套 接 字 层 ( Secure Socket Layer，SSL ) 在 传输 层 上 提供 了 服务 器 认证 、 数据 加 密 以 
及 消息 完整 性 。SSL 的 一 个 优势 在 于 它 能 够 保护 几 个 因特网 服务 的 安全 性 ， 而 不 仅 限于 HTTP。 
SSL 协 议 在 一 个 TCP/IP 连 接 开始 的 时 候 建立 一 个 安全 会 话 。S-HTTP 和 SSL 的 使 用 不 是 互相 冲 
突 的 。 许 多 因特网 事务 方案 同时 使 用 了 SSL 和 S-HTTP。 安 全 IP (Ipv6 ) 是 一 一 个 包括 附加 安全 
功能 的 JP 扩展 规 范 。 因 特 网 现在 正在 从 第 4 版 的 了 过 渡 到 第 6 版 的 IP。 Ipv6 包 括 两 个 安全 机 人 制 ， 
一 个 认证 头 和 封装 安全 负载 (Encapsulating Security Payload，ESP ) 协议 。 认证 头 包含 了 在 
消息 的 基础 上 计算 得 到 的 认证 信息 。 消 息 的 完整 性 可 以 使 用 此 信息 来 验证 。ESP 协 议 提 供 了 加 
密 部 分 或 者 全 部 消息 的 能 力 。 安 全 了 协议 能 够 极 大 地 提高 网 络 协议 层 的 安全 性 。 

正在 开发 和 促进 另外 的 安全 协议 ， 其 目的 是 解决 在 因特网 上 传输 金融 事务 的 特殊 问题 。 
很 明显 ， 在 因特网 上 提供 信用 卡号 是 非常 不 明智 的 。 两 个 主要 的 信用 卡 Visa 和 MasterCard 为 支 
持 安全 电子 事务 (Secure Electronic Transaction，SET ) 协议 进行 了 一 场 标准 之 战 。 选 择 金融 
事务 协议 需要 考虑 到 谁 正在 支持 它 。 对 于 那些 已 经 把 当前 的 信用 卡 和 支付 卡 处 理 系统 同 现 有 
的 事务 捕获 和 支持 系统 结合 在 一 起 的 银行 来 说 ， 它 们 正 处 在 一 个 有 力 的 位 置 上 来 定义 因特网 
金融 事务 将 走向 何方 。 | | 
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14.1.7 Java 


Sun 公 司 的 Java 技 术 至 少 在 该 概念 上 已 经 有 了 分 布 式 环境 中 的 一 些 引 起 关注 的 考虑 。Java 
是 Sun 公 司 在 C++ 的 基础 上 开发 的 一 种 面向 对 象 语言 , 它 可 以 与 网 络 设备 和 商业 工具 一 起 使 用 。 
Java 的 最 初 设计 目标 是 提供 可 以 在 可 移植 的 、 高 度 分 布 的 异 构 环 境 中 执行 的 程序 。Java 是 一 种 
解释 型 语言 ， 这 意味 着 同一 代码 可 以 在 多 种 平台 上 执行 。Java 程 序 (比如 Java Applet 程 序 ) 首 
先 要 编译 成 字 节 码 的 可 传输 代码 。 字 节 码 或 者 applet 可 以 接着 发 送 到 目标 平台 ， 并 由 本 地 Java 
解释 器 进行 解释 和 执行 。 使 用 这 种 解释 方法 ， 同 一 Java 程 序 能 够 以 同样 的 方式 在 任何 平台 上 
执行 一 一 只 要 平台 上 有 Java 解 释 器 就 可 以 。 

Java 带 来 的 激动 是 它 具 有 从 互联 网 上 下 载 和 执行 程序 的 能 力 。 当 考虑 到 安全 问题 时 ， 这 
可 能 是 一 个 梦 尾 。 许 多 人 对 从 网 上 下 载 的 代码 抱 有 戒心 ， 这 些 代 码 可 以 在 本 地 机 器 上 加 载 和 
执行 。Java 包 括 了 几 个 安全 功能 以 保护 applet 和 其 外 部 执行 环境 的 完整 性 。applet 本 身 由 Java 解 
释 器 所 校 验 以 探查 在 执行 期 内 可 能 发 生 的 任何 潜在 问题 。applet 不 能 创建 新 进程 。 附 加 的 检查 
保证 了 Java applet 不 会 访问 本 地 文件 系统 。 applet 只 能 同 其 原始 主机 建立 网 络 连 接 。 

然而 ， 上 面 所 有 这 些 功 能 并 不 能 保证 不 会 出 现 安全 问题 。 有 很 多 闲人 都 非常 乐意 寻找 安 
全 漏洞 。 尽 管 Java 限 制 了 一些 可 能 的 情况 ， 但 是 在 早期 的 参考 帘 现 中 还 是 发 现 了 一 些 安 全 缺 
点 。 这 表明 ， 要 让 一 切 一 下 子 全 都 完美 ， 如 果 不 是 不 可 能 的 话 ， 至 少 也 是 非常 困难 的 。 在 类 
似 Java 这 样 的 解释 器 里 开发 安全 机 制 是 一 个 反复 的 过 程 。 


14.1.8 因特网 PC 


近来 另 一 个 有 关 因 特 网 的 开发 是 几 家 主要 的 计算 机 厂商 宣布 了 廉价 的 因特网 PFC。 这 个 概 
念 是 提供 一 种 廉价 的 、 功 能 受 限 的 设备 ， 只 为 了 上 网 目的 。 这 种 机 器 由 一 个 处 理 器 、 一 个 功 
能 受 限 的 操作 系统 、 支 持 图 形 化 和 网 络 访问 的 功能 以 及 执行 Java applet 的 能 力 组 成 。 当 使 用 这 
种 机 器 时 ， 几 乎 所 需 的 全 部 处 理 功 能 都 可 以 从 网 上 下 载 。 这 种 机 器 一 次 只 能 执行 小 的 applet， 
并 且 只 在 需要 的 时 候 执 行 。 

这 种 方法 具有 吸引 力 的 一 个 原因 是 它 以 很 低 的 成 本 提供 了 网 络 访问 能 力 。 如 果 支 持 新 应 
用 软件 和 操作 系统 需要 更 新 机 器 ， 并 且 需 要 对 用 户 进行 使 用 培训 ， 那 么 支持 一 个 分 布 式 的 、 
全 功能 PC 网 络 的 成 本 和 复杂 性 就 会 增长 。 大 型 PC 网 络 上 软件 的 发 布 和 改变 管理 也 是 导致 问题 
和 开销 的 一 个 主要 原因 。 因 特 网 PC 的 受 限 功能 和 低 成 本 被 认为 是 降低 系统 整体 成 本 和 避免 改 
变 及 更 新 闻 题 的 一 个 方法 。 对 于 正在 积极 筹划 实现 公司 企业 内 部 网 的 大 型 公司 来 说 ， 这 是 非 
常 有 吸引 力 的 。 


14.2 因特网 防火 墙 


顾名思义 ， 防 火 墙 是 用 来 阻止 火势 扩散 的 一 堵 墙 。 网 络 防火 墙 通 过 试图 隔离 和 阻止 安全 
问题 来 提供 同样 的 基本 功能 。 其 目标 是 把 可 信 网 络 同 不 可 信 网 络 隔离 起 来 以 保证 前 者 的 安全 。 
二 者 之 间 的 所 有 流量 都 强制 通过 防火 墙 ， 在 这 里 流量 会 进行 分 析 。 会 自动 拒绝 未 经 授权 的 流 
量 ， 并 且 甚 至 两 个 经 过 授权 的 网 络 地 点 之 间 的 流量 也 可 以 检查 。 不 仅仅 进入 流量 ， 而 且 外 出 
流量 也 可 以 受到 控制 。 防 火 墙 也 可 以 保证 有 关 可 信 网 络 的 信息 〈 例如 地 址 列表 ， 这 些 信息 可 
能 对 于 黑客 非常 有 用 ) 不 会 泄露 到 不 可 信 网 络 中 。 到 目前 为 止 ， 防 火 墙 最 常见 的 用 途 是 保护 
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可 信 的 内 部 网 络 在 连接 到 因特网 时 免 遭 问题 。 

本 章 对 防火 墙 的 讨论 只 是 提供 一 个 对 基本 概念 、 防 火 墙 问题 和 术语 以 及 因特网 服务 的 总 
体 概 括 。 有 关 这 些 领域 的 深入 信息 ， 向 读者 推荐 两 本 有 关 防 火 墙 的 优秀 著作 [Cheswick & 
Bellovin,1994] 和 [Chapman,1995]。 


14.2.1 防火 墙 组 件 


当 一 个 组 织 宣称 自己 拥有 一 个 防火 墙 的 时 候 ， 这 可 以 意味 着 很 多 事情 。 防 火 墙 是 一 个 概 
念 而 不 是 一 个 具体 的 模型 或 产品 。 防 火 墙 可 以 构建 、 购 买 ， 可 以 有 多 种 形式 多 种 尺寸 。 防 火 
墙 可 以 由 单一 一 个 网 络 设备 组 成 ， 如 一 个 路 由 器 。 也 可 以 包含 许多 设备 ， 其 中 包括 路 由 器 和 
计算 机 ， 并 具有 防火 墙 的 全 部 功能 。 下 面 将 对 典型 防火 墙 的 体系 结构 进行 介绍 。 要 记 住 ， 这 
是 对 典型 防火 墙 的 一 个 概念 视图 。 把 功能 分 成 几 个 分 立 的 组 件 ， 可 以 相对 容易 地 阐述 防火 墙 
的 工作 机 制 。 然 而 ， 这 种 典型 防火 墙 的 全 部 组 件 可 以 讲 括 在 一 个 黑 盒 子 解决 方案 中 。 下 面 分 
析 防 火 墙 的 组 件 来 展开 对 防火 墙 的 探讨 ， 首 先 从 过 滤 路 由 器 开始 。 

1. 过 滤 路 由 器 

在 第 7 章 中 已 经 看 到 ， 路 由 器 可 以 用 来 过 滤 TCP/IP 网 络 流量 。 这 种 过 滤 是 建立 在 两 个 主要 
因素 基础 上 的 ， 包 中 的 网 络 地 址 ， 引 用 应 用 程序 的 类 型 一 一 使 用 一 个 端口 号 来 表示 。 通 常情 
况 下 ， 目 标 端口 号 表明 了 所 涉及 到 的 应 用 程序 ， 但 是 从 安全 角度 上 看 ， 让 端口 号 等 同 于 应 用 
是 错误 的 。 过 滤器 可 以 在 包 源 网 络 地 址 和 目标 网 络 地 址 的 基础 上 对 其 进行 过 滤 。 所 请 求 应 用 
的 类 型 由 源 端口 号 和 目标 端口 号 定义 一 一 也 可 以 过 滤 。 协 议 类 型 (如 TCP 和 UDP ) 也 可 
以 做 为 一 项 过 滤 内 容 。 防 火 墙 管 理 员 可 以 控制 通过 过 滤 设 备 ( 在 多 数 情况 下 是 路 由 器 ) 的 包 
的 类 型 ， 这 些 包 可 以 是 去 往 也 可 以 是 来 自 可 信和 不 可 信 网 络 的 包 。 包 过 滤器 通常 通过 访问 控 
制 列表 来 启用 。 访 问 控制 列表 定义 了 由 允许 或 者 拒绝 的 地 址 、 端 口 和 协议 所 组 成 的 组 合体 。 

使 用 过 滤 技术 有 很 多 局 限 性 。 尽 管 路 由 器 可 以 在 包头 信息 的 基础 上 对 流量 进行 限制 ， 但 
是 它 不 能 对 包 信息 的 内 容 进行 任何 判断 。 例 如 ， 一 个 配置 为 允许 邮件 通过 的 路 由 器 是 不 能 够 
检查 出 邮件 中 的 时 间 炸 弹 的 。 第 二 ， 路 由 器 访问 控制 列表 在 其 配置 中 可 能 会 含义 模糊 。 对 于 
一 个 没有 经 验 的 或 者 粗心 的 防火 墙 管理 员 来 说 ， 他 很 可 能 会 不 小 心 犯 下 错误 ， 从 而 允许 未 经 
授权 的 服务 通过 防火 墙 。 最 后 的 安全 考虑 是 路 由 器 不 应 该 配置 成 提供 不 必要 的 内 部 网 络 信息 ， 
也 不 应 该 从 因特网 上 接受 有 关内 部 网 络 的 信息 〈 例如， 内 部 路 由 信息 )。 最 后 ， 许 多 基于 
TCP/IP 的 服务 都 是 在 一 个 已 知 端口 号 上 打开 通信 的 ， 但 是 其 后 面 的 通信 都 是 使 用 所 指派 的 更 
高 的 端口 号 。 这 些 端 口号 并 不 总 是 可 以 预测 的 ， 因 此 当 应 用 过 滤 规 则 的 时 候 一 定 要 留 出 一 段 
端口 号 范围 。 某 些 防 火 墙 具有 有 状态 包 过 滤 的 功能 ， 它 们 人 允许 在 同 客户 机 会 话 进行 通信 的 过 
程 中 可 以 打开 一 个 更 高 的 端口 号 。 当 通信 结束 时 ， 更 高 的 端口 就 会 关闭 。 

2. 屏蔽 子 网 

在 第 一 次 世界 大 战 中 ,西方 前 线 中 使 用 了 战壕 系统 ， 这 种 系统 的 设计 目标 是 提供 一 个 称 
做 深度 防守 的 概念 。 总 共 设 计 了 三 个 战壕 ， 其 思想 是 在 第 一 个 战壕 被 敌人 突破 以 后 ， 前 方 军 
力 可 以 撤回 到 第 二 个 预备 战壕 。 这 些 战 壕 被 设计 成 锯齿 弯 型 。 即 使 敌人 突破 了 一 段 战壕 ， 它 
们 也 不 能 控制 整个 战壕 。 第 一 套 战壕 为 前 线 内 部 提供 了 边界 防护 。 

一 个 屏蔽 子 网 起 到 了 内 部 网 络 和 因特网 之 间 的 边界 防护 系统 的 作用 。 它 进一步 把 内 部 网 
络 同 因特网 隔离 保护 起 来 。 这 种 特殊 子 网 的 使 用 也 可 以 引入 一 类 特殊 的 计算 机 ， 这 种 机 器 称 
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做 桥头 堡 主机 。 这 些 主机 和 内 部 网 络 以 及 外 部 网 络 之 间 的 流量 可 以 由 路 由 器 来 控制 。 路 由 器 
不 仅仅 可 以 限制 网 络 流量 的 性 质 ， 而 且 还 可 以 强制 进入 流量 和 外 出 流量 必须 通过 屏 项 子 网 上 
的 特殊 计算 机 系统 一 一 即 桥头 堡 主机 。 . 

3. 桥头 堡 主机 

桥头 堡 主机 ( 桥头堡 是 一 个 要 塞 的 外 部 部 分 。 通 过 它 ， 防 卫 者 可 以 控制 许多 不 同 的 通道 ) 
是 直接 同 不 可 信和 网 络 打 交道 的 任何 计算 机 系统 。 因 为 桥头 堡 主机 是 入 侵 者 的 主要 攻击 点 ， 所 
以 它们 必须 要 受到 严格 的 安全 保护 。 桥 头 堡 主机 可 以 用 来 控制 有 效 的 进入 流量 ， 并 把 这 些 流 
量 转发 到 内 部 网 络 上 的 适当 地 点 。 另 一 方面 ， 桥 头 堡 主机 起 到 了 去 往 因 特 网 的 内 部 网 络 流量 
的 单一 控制 点 的 作用 。 桥 头 堡 主机 也 能 够 适应 一 些 TCP/IP 服 务 的 需要 ， 即 在 一 段 时 间 内 通过 
有 选择 地 开放 所 需 端 口 ， 可 以 在 不 可 信 端 口上 进行 通信 。 它 们 也 可 以 为 内 部 用 户 提 供 对 应 用 
程序 或 者 TCP/IP 网 络 服 务 的 访问 ， 这 种 访问 是 基于 代理 之 上 的 。 代 理 允 许 在 这 些 应 用 上 施 以 
另外 的 控制 。 

4. 双 穴 主机 

许多 计算 机 系统 可 以 使 用 多 个 网 卡 。 这 种 系统 的 术语 名 称 是 “ 双 穴 主机 ”， 它 们 可 以 在 多 
个 接口 之 间 移动 流量 。 在 一 个 因特网 防火 墙 实现 中 ， 一 个 接口 通常 连接 到 内 部 网 络 上 ， 而 第 
二 个 接口 则 连接 到 因特网 上 。 这 里 的 窍门 并 不 是 自动 传递 两 个 网 络 之 间 的 流量 ， 而 是 强制 所 
有 通信 都 通过 双 穴 主机 。 内 部 网 络 上 的 系统 同 外 部 因特网 系统 进行 通信 必须 要 通过 双 六 主机， 
反之 亦 然 。 这 里 不 允许 有 任何 直接 的 通信 ， 所 有 的 通信 都 会 监视 。 另 一 方面 ， 双 穴 主 机 要 比 
其 他 类 型 的 方案 更 难以 建立 和 管理 。 

5. 代理 服务 

常识 上 ， 一 个 代理 就 是 授权 代表 你 的 一 个 人 。 例 如 ， 在 公司 年 度 会 议 上 ， 一 个 代理 可 以 
指派 代表 一 个 股东 进行 投票 。 与 此 类 似 ， 防火墙 代理 服务 也 是 代表 希望 得 到 因特网 资源 的 用 
户 进行 动作 。 代 理 服务 提供 者 对 用 户 来 说 是 透明 的 ， 当 用 户 访问 因特网 服务 的 时 候 ， 他 们 不 
知道 有 个 中 介 正 代表 着 他 们 进行 访问 。 

使 用 代理 服务 器 有 两 个 主要 好 处 。 第 一 ， 用 户 不 需要 登录 到 桥头 堡 主机 上 ， 也 不 需要 有 
其 上 的 账号 。 这 使 得 桥头 堡 主机 可 以 尽 可 能 地 保持 “ 瘦 ” 和 简单 。 从 安全 角度 上 看 ， 把 东西 
尽 可 能 地 保持 简单 总 是 一 个 好 的 原则 。 第 二 ， 代 理 服务 器 的 使 用 使 得 用 户 行为 的 审计 跟踪 可 
以 记录 下 来 。 对 代理 服务 器 使 用 审计 跟踪 可 以 探查 那些 访问 不 当 网 站 〈 如 提供 色情 内 容 或 者 
非法 内 容 ) 的 员工 。 许 多 代理 也 透明 地 “清洗 ”内 部 ITP 地 址 ， 即 把 你 的 内 部 地 址 空间 隐藏 在 
桥头 堡 主机 地 址 之 后 。 

代理 服务 器 可 用 于 许多 常见 的 因特网 服务 ， 这 包括 telnet、FTP 和 HTTP。 然 而 ， 使 用 代理 
服务 也 有 -一些 缺点 。 尽 管 大 多 数 常见 的 因特网 服务 都 有 其 可 用 的 代理 版 本 ， 但 是 你 所 希望 的 
某 个 特定 服务 可 能 就 没有 。 例如 ,找到 对 SNMP 协 议 的 支持 可 能 就 是 个 问题 。 然 而 ,一般 来 说 ， 
在 可 能 的 时 候 使 用 代理 是 值得 推荐 的 。 下 面 将 探讨 两 种 不 同 的 代理 服务 实现 方法 一 一 电路 中 
继 和 基于 应 用 网 关 的 代理 。 

6. 电路 中 继 

电路 中 继 是 一 种 代理 服务 ， 其 通常 驻 留 于 桥头 堡 主机 上 。 它 对 来 自 客户 机 的 请 求 进 行 检 
查 ， 如 果 有 效 ， 就 转发 到 因特网 的 相关 服务 器 上 。 使 用 电路 中 继 ， 客 户 机 上 必须 驻 留 有 特殊 
的 软件 。 电 路 中 继 通 常 要 求 客户 机 上 安装 和 配置 了 特殊 的 软件 。SOCKS 是 一 种 常见 的 电路 中 
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继 服务 包 ， 它 是 由 David 和 Michelle Koblas 开 发 的 。 电 路 中 继 可 以 控制 一 个 请 求 的 源 地 址 和 目 
标 地 址 ， 但 它 不 会 检查 请 求 的 性 质 或 内 容 。 例 如 ， 对 于 一 个 在 自己 的 工作 站 和 一 个 因特网 服 
务 器 之 间 使 用 传输 工具 FTP 的 用 户 请 求 来 说 ， 请 求 本 身 会 被 控制 ， 但 是 使 用 FTP 传 输 的 文件 不 
会 检查 。 用 户 可 以 传输 未 经 授权 的 内 容 ， 但 是 电路 中 继 代理 对 这 种 行为 无 能 为 力 。 若 要 在 通 
信 内 容 的 基础 上 实行 智能 控制 ， 那 么 必须 要 使 用 一 个 应 用 网 关 代 理 。 

7. 应 用 网 关 

应 用 网 关 代理 不 仅仅 有 能 力 控 制 连接 ， 而 且 能 够 对 连接 的 性 质 进行 检查 。 应 用 网 关 把 用 
户 请 求 传 递 到 一 个 真正 的 应 用 服务 ， 在 那里 ， 所 请 求 的 应 用 会 把 判断 标准 应 用 到 用 户 请 求 上 
以 决定 是 否 允 许 其 通过 。 有 一 种 情况 不 很 常见 但 却 是 所 需要 的 ， 即 这 种 代理 类 型 的 使 用 涉及 
到 电子 邮件 的 控制 。 邮 件 消息 可 能 会 携带 特洛伊 木马 程序 、 病 毒 或 者 其 他 有 害 的 内 容 。 尽 管 
进行 这 种 任务 的 技术 仍旧 在 改进 之 中 ， 但 是 一 个 应 用 网 关 代 理 可 以 截获 所 有 的 邮件 消息 。 应 
用 网 关 代理 可 以 打开 消息 并 检查 其 内 容 以 防 有 非法 内 容 。 它 们 也 可 以 在 审计 跟踪 的 使 用 中 多 
许 一 个 更 好 的 粒度 。 如 果 FTP 连 接 通 过 应 用 网 关 来 实现 ， 那 么 它 可 以 对 用 户 连 接 的 每 个 基 键 进 
行 记录 。 
14.2.2 ”典型 的 防火 墙 


现在 我 们 来 看 一 下 防火 墙 的 一 般 体系 结构 ( 记 住 ， 实 际 上 没有 什么 典型 的 防火 墙 )。 法 种 
体系 结构 涉及 到 了 一 对 路 由 器 和 两 个 计算 机 系统 的 使 用 。 其 中 一 个 路 由 器 称 做 外 部 路 由 器 ， 
它 通 过 一 个 广域网 ( Wide Area Network，WAN ) 接口 同 因特网 相连 ; 第 二 个 路 由 器 控制 着 到 
内 部 网 络 的 连接 。 同 这 两 个 路 由 器 相连 的 是 一 个 屏蔽 子 网 ， 它 由 两 个 系统 组 成 。 第 一 个 系统 
称 做 双 穴 桥头 堡 主机 ， 它 用 来 过 滤 和 处 理 进 入 网 络 流量 ; 第 二 个 主机 用 来 执行 选 定 的 因特网 
服务 ， 如 电子 邮件 、NTP 和 DNS 等 。 

图 14-1 说 明了 这 种 防火 墙 的 典型 体系 结构 。 











图 14-1 一 个 典型 的 因特网 防火 墙 
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外 部 路 由 器 提供 对 因特网 的 初始 连接 。 它 用 来 过 滤 桥头 堡 主机 和 因特网 之 间 的 所 有 未 经 
授权 的 流量 。 所 有 的 进入 流量 都 定向 到 桥头 堡 主机 以 进行 处 理 ， 并 且 所 有 的 外 出 流量 也 必须 
从 桥头 堡 主机 流出 。 内 部 路 由 器 限制 了 来 自 内 部 网 络 流量 的 性 质 和 起 源 。 它 只 转发 那些 去 往 
桥头 堡 主机 或 者 因特网 服务 主机 的 流量 ， 并 且 只 人 允许 来 自 这 些 系统 的 进入 流量 。 因 此 ， 网 络 
流量 被 强制 只 能 去 往 经 过 选择 的 目的 地 ， 在 那里 它们 可 以 受到 更 好 的 控制 。[ 值 得 怀疑 的 是 ， 
图 14-1 中 所 示 的 子 网 不 是 一 个 “屏蔽 子 网 "。 它 需要 另 一 个 路 由 器 来 控制 对 其 主机 的 访问 
其 主机 被 “官方 ”看 作 是 一 个 “屏蔽 子 网 ”， 但 是 大 多 数 人 认为 防火 墙 是 足够 的 ]。 

内 部 和 外 部 路 由 器 不 仅仅 根据 源 地 址 和 目标 地 址 来 限制 流量 ， 而 且 还 要 根据 流量 的 类 型 
一 一 即 TCP/IP 源 端口 和 目标 端口 来 限制 。 进 入 流量 通常 限定 为 电子 邮件 、 因 特 网 新 闻 服 务 、 
域名 系统 以 及 网 络 时 间 协 议 服 务 。 所 有 这 些 服 务 的 流量 都 定向 到 因特网 服务 器 ， 在 那里 , 它 
们 会 在 转发 到 任何 内 部 系统 之 前 先 处 理 。 内 部 路 由 器 保证 了 只 有 这 些 服务 可 以 允许 ， 并 且 它 
们 必须 要 通过 桥头 堡 主机 。 桥 头 堡 主机 也 可 以 提供 一 些 代理 因特网 服务 ， 如 Telnet 和 FTP。 在 
一 个 位 于 防火 墙 之 外 的 系统 上 提供 HTTP 服 务 是 很 常见 的 〈 如果 防火 墙 不 能 充分 支持 进入 
HTTP 流 量 的 话 )。 从 前 面 可 知 ， 代 理 服务 器 可 以 代表 合法 用 户 来 执行 服务 ， 并 且 不 需要 用 户 
真正 登录 到 网 关系 统 上 。 

防火 墙 体系 结构 是 一 种 “皮带 加 挂钩 ”的 方法 ， 使 用 它 来 为 员工 提供 对 因特网 服务 的 访 
问 时 ， 组 织 的 “裤子 不 会 掉 下 来 "。 如 果 入 侵 者 获得 了 从 因特网 上 访问 进入 主机 的 权力 ， 那 么 
内 部 路 由 器 会 阻止 其 对 内 部 网 络 的 访问 。 同 样 ， 外 部 路 由 器 可 以 阻挡 内 部 网 络 和 外 部 网 络 之 
闻 的 未 经 授权 的 对 话 。 在 这 种 体系 结构 中 ， 防 火 墙 中 一 个 组 件 出 现 同 题 不 会 导致 整个 系统 被 
破坏 。 

1. 虚拟 专用 网 

可 以 使 用 加 密 来 保护 防火 墙 之 间 的 流量 ， 这 种 做 法 产生 了 一 个 概念 : 虚拟 专用 网 
( Virtual Private Network，VPN )。 如 果 两 个 公司 网 络 需 要 通过 一 个 不 可 信和 网 络 ( 如 因特网 ) 
来 建立 连接 ， 那 么 它们 之 间 的 流量 应 该 保护 起 来 。 如 果 这 两 个 网 络 都 受到 防火 墙 的 保护 ， 那 
么 这 些 防 火 墙 就 是 放置 加 密 机 制 的 合理 地 方 ， 这 是 因为 所 有 的 流量 都 必须 要 通过 它们 。 很 多 
防火 墙 厂商 都 把 VPN 功 能 作为 其 产品 的 一 部 分 。 

2. 对 防火 墙 的 攻击 

在 过 去 5 年 中 ,因特网 用 户 的 网 络 连接 已 经 遭受 了 很 多 攻击 。 这 些 攻击 使 用 了 很 多 破坏 防 
火 墙 系统 的 技术 ， 使 用 这 些 技术 ， 攻 击 者 可 以 进入 组 织 的 内 部 网 络 。 路 由 器 和 桥头 堡 主机 的 
正确 配置 是 非常 关键 的 。 

例如 ， 对 于 一 个 检查 外 部 包 的 防火 墙 路 由 器 来 说 ， 它 必须 能 够 阻止 任何 声称 自己 来 自 
内 部 网 络 的 IP 包 的 进入 。 而 且 ， 它 应 该 永远 不 会 把 来 自 外 部 的 路 由 信息 接受 到 自己 的 内 部 
网 络 中 ， 并 且 也 不 应 该 允许 由 一 个 外 部 给 定 的 路 由 器 所 发 送 的 返回 包 的 路 由 。 在 网 络 上 接 
收 到 的 任何 声称 自己 来 自 环 回 地 址 的 包 也 应 该 拒 之 门 外 。 你 可 能 仍旧 想 使 用 环 回 接口 。 很 
明显 ， 配 置 路 由 器 是 一 个 敏感 的 安全 问题 ， 这 应 该 在 路 由 器 控制 台 上 进行 。 路 由 器 绝对 不 
能 接受 任何 来 自 因特网 的 控制 或 者 路 由 信息 。 关 于 如 何 把 包 路 由 到 内 部 网 络 上 ， 路 由 锥 绝 
对 不 能 接受 外 来 的 信息 。 并 且 ， 路 由 器 应 该 尽 可 能 地 把 有 关 它 所 试图 保护 的 内 部 网 络 的 信 
息 隐 藏 起 来 。 
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与 此 类 似 ， 桥头 堡 主机 也 必须 尽 可 能 少 地 泄漏 内 部 网 络 的 信息 。 特 别 是 域名 系统 的 配置 ， 
它 绝 对 不 应 该 把 内 部 网 络 的 信息 泄露 给 外 部 网 络 。 桥 头 堡 主机 应 该 有 少量 的 用 户 账 号 。 如 果 
可 能 的 话 ， 对 堡 全 主机 的 直接 登录 和 FTP 访 问 都 应 该 限定 在 系统 控制 台 上 。 每 个 桥头 堡 主机 都 
应 该 尽 可 能 地 接近 “ 裸 机 "， 也 就 是 说 ， 编 译 器 、 编 辑 器 、 调 试 器 以 及 其 他 任何 可 能 会 为 攻击 
者 提供 帮助 的 工具 都 应 该 禁用 或 者 删除 。 不 用 的 网 络 服务 和 功能 ， 如 UUCP 和 IP 转 发 ， 都 必须 
要 删除 或 者 禁用 。 应 该 使 用 监视 安全 控制 的 软件 〈 在 第 12 章 中 介绍 过 )， 另 外 值得 推荐 的 是 使 
用 完整 性 检查 程序 来 定期 检查 对 桥头 堡 主机 的 任何 改变 。 所 有 同安 全 相关 的 补丁 都 应 该 尽 可 
能 快 地 安装 上 。 


14.2.3 构建 还 是 购买 


构建 一 个 能 够 抵抗 来 自 因特网 的 反复 攻击 的 防火 墙 绝对 不 是 一 个 可 以 交 给 新 手 去 做 的 简 
单 工 作 。 我 们 曾 看 到 过 很 多 人 喜欢 花 上 半天 时 间 来 尝试 访问 连 上 因特网 的 系统 。 很 多 装备 了 
自动 探查 网 络 工具 的 “高 手 ” 们 都 能 看 到 你 的 防火 墙 并 试图 访问 它 。 毫 无 疑问 ， 为 组 织 构建 
防火 墙 并 保证 其 安全 是 一 项 很 复杂 的 任务 ， 它 绝对 不 是 可 以 “ 边 学 边 做 ”的 。 对 于 大 多 数组 
织 来 说 ， 如 果 其 防火 墙 被 攻破 了 ， 那 么 那些 高 级 管理 人 员 肯 定 谁 也 笑 不 出 口 。 

强烈 推荐 ， 除 非 你 的 组 织 有 这 个 领域 的 技术 专家 ， 和 否则 请 利用 厂商 或 者 第 三 方 提供 商 来 
为 你 构建 和 实现 防火 墙 ! 如 果 把 这 个 工作 委托 给 新 手 去 做 ， 那 麻烦 可 大 了 ， 他 必须 要 学 习 很 
多 东西 。 但 是 这 并 不 意味 着 你 在 其 中 没有 任何 责任 。 对 于 一 个 组 织 来 说 ,不 管 是 购买 一 个 防 
火 墙 还 是 请 个 顾问 来 构建 ， 组 织 都 应 该 努力 学 习 关于 这 项 技术 的 尽 可 能 多 的 知识 。 厂 商 或 者 
顾问 离开 以 后 ， 有 关 防 火 墙 的 操作 和 安全 的 责任 会 一 直 落 到 组 织 自 己 的 头 上 。 

最 后 ， 防 火 墙 技术 仍旧 在 发 展 ， 所 以 组 织 应 该 跟 上 所 有 最 新 技术 的 步伐 ， 这 是 非常 重要 
的 。 可 以 预见 的 是 ， 不 断 增 长 的 客户 需求 会 导致 出 现 新 的 安全 暴露 问题 。 毫 无 疑问 ， 组 织 应 
该 及 时 采用 新 的 防火 墙 技术 以 解决 这 些 暴露 问题 并 满足 新 的 需求 。 

对 因特网 技术 的 讨论 到 这 里 就 全 部 结束 了 ， 下 面 我 们 探讨 一 下 控制 员工 使 用 因特网 的 标 
准 。 


14.2.4 因特网 可 接受 的 使 用 策略 


关于 员工 使 用 因特网 ， 有 很 多 问题 都 是 公司 应 该 解决 的 。 员 工 明白 他 们 在 使 用 公司 因 特 
网 连接 时 所 承担 的 责任 吗 ? 员工 知道 电子 邮件 如 果 不 加 密 的 话 就 有 可 能 会 被 截获 、 臭 改 和 伪 
造 吗 ? 电子 邮件 地 址 欺骗 是 一 种 使 用 特殊 工程 攻击 来 获得 未 经 授权 信息 的 方法 。 如 果 员 工 把 
公司 因特网 连接 用 于 个 人 业务 目的 ， 或 者 使 用 对 公司 有 害 的 或 违反 公司 规定 的 公司 电子 邮件 
地 址 在 因特网 新 闻 组 上 大 放 厥 词 的 话 ， 那 会 怎么 样 呢 ? 对 于 访问 种 族 歧视 或 者 色情 内 容 的 员 
工 来 说 ， 公 司 应 该 拿 他 怎么 办 呢 ? 

员工 必须 要 知道 ， 当 使 用 公司 资源 来 访问 因特网 的 时 候 ， 他 们 所 代表 的 是 公司 的 大 众 开 
象 。 公 司 信 任 他 们 会 以 一 个 合理 的 方式 来 进行 工作 ， 但 是 组 织 不 会 批准 对 这 种 信任 的 滥用 。 
有 很 多 问题 都 是 公司 的 管理 部 门 应 该 解决 的 ， 只 有 这 样 才 能 “ 防 患 于 未 然 "。 解 决 这 种 需要 的 
一 个 有 效 办 法 是 实现 一 个 因特网 可 接受 的 使 用 策略 。 该 策略 应 该 对 员工 在 使 用 公司 于 天 
因特网 访问 的 时 候 可 接受 的 行为 和 应 该 承担 的 责任 进行 明确 的 定义 。 
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14.3 结论 


如 果 有 正确 的 技术 、 员 工 培训 程序 以 及 一 个 由 管理 部 门人 签署 的 明确 策略 ， 那 么 因特网 的 
使 用 可 以 带 来 很 多 好 处 。 如 果 没 有 正确 地 开发 这 么 一 个 策略 ， 那 么 组 织 就 会 有 很 多 问题 。 因 
特 网 服务 的 安全 性 在 近 几 年 来 有 很 大 的 提高 和 改进 ,但 是 时 至 今日 ， 安 全 性 仍然 是 计算 领域 
的 一 个 大 问题 ， 并 吸引 了 广泛 的 注意 。 不 管 将 来 的 开发 如 何 ， 公 司 的 因特网 使 用 都 必须 要 进 
行 仔细 的 计划 。 关 于 预期 会 有 什么 好 处 以 及 需要 什么 工具 ， 公 司 都 应 该 对 目标 进行 明确 定义 。 
但 是 不 要 忘记 解决 了 技术 问题 以 后 ， 人 为 问题 仍然 存在 ! 
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自从 人 类 开始 互相 通信 以 来 ， 就 有 了 对 保密 的 需要 。 密 码 学 的 定义 是 把 信息 打 乱 成 不 可 
理解 的 形式 、 然 后 再 把 加 密 过 的 信息 还 原 成 可 以 理解 的 形式 的 原则 、 手 段 和 方法 。 换 名 话说， 
密码 学 是 秘密 书写 的 科学 。 最 早 的 加 密 例子 是 在 4000 年 前 的 埃及 手迹 中 发 现 的 。 古 希腊 、 中 
国 以 及 罗马 文明 都 曾 使 用 过 让 人 惊奇 的 先进 密码 技术 。 在 中 世纪 的 阿拉 伯 世 界 里 ， 密 码 学 和 
密码 分 析 学 的 使 用 是 非常 活跃 的 。 尽 管 情人 们 和 神学 家 们 也 有 秘密 传 信 的 悠久 历史 ， 但 在 历 
史上 密码 学 主要 还 是 用 在 外 交 和 军事 方面 。 

美国 之 所 以 介入 第 一 次 世界 大 战 ， 一 个 起 作用 的 因素 是 英国 军事 情报 部 门 对 一 封 电报 的 
截获 和 部 分 解密 。 这 封 电报 被 称 为 齐 莫 尔 曼 电报 ( 齐 莫 尔 曼 是 德国 外 交 部 长 )， 它 暴露 了 德国 
和 点 西 哥 的 秘密 协商 。 德 国 承诺 在 战争 成 功 结束 以 后 帮 墨 西 哥 夺回 被 美国 占领 的 土地 。 

第 二 次 世界 大 战 促进 了 密码 学 和 密码 分 析 技 术 的 发 展 。 在 20 世 纪 30 年 代 后 期 ， 波 兰 军事 
情报 部 门 的 工作 人 员 复 制 了 一 台 称 做 Enigma 的 德国 加 密 机 器 。 在 战争 爆发 以 后 ， 这 人 台 机 器 送 
到 波兰 的 法 国 和 比利时 盟 军 。Enigma 机 器 类 似 于 一 台 打 字 机 ， 它 使 用 了 一 套 称 做 转子 的 加 密 
轮 。 这 人 台 机 器 的 高 级 版 本 使 用 了 附加 的 转子 ， 它 被 认为 是 不 可 破解 的 ， 但 是 英国 军事 情报 部 
门 能 够 破解 这 种 加 密 方 案 。 从 1940 年 以 后 ， 越 来 越 多 的 德国 海军 和 陆军 情报 对 盟 军 都 成 为 可 
用 的 了 。 . 

美国 军事 情报 部 门 在 1942 年 6 月 的 中 途 岛 之 战 中 起 到 了 重要 作用 。 在 一 个 称 做 PURPLE 
的 秘密 计划 之 下 ， 对 日 本 通信 ( 称 做 MAGIC ) 的 解密 把 日 本 进攻 中 途 岛 的 意图 预先 警告 给 
美国 海军 。 这 份 情 报 使 得 美国 海军 突袭 了 山本 的 舰队 。 美 国 的 这 次 胜利 是 第 二 次 世界 大 战 的 
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转折 点 。 

数据 加 密 通常 认为 是 为 数据 存储 和 传输 提供 保密 性 的 最 佳 方法 。 加 密 是 使 用 一 个 算法 把 
数据 从 一 种 形式 到 另 一 种 形式 的 变换 ， 在 变换 过 程 中 要 使 用 一 个 或 多 个 加 密 密 钥 。 如 果 不 使 
用 正确 的 密 钥 来 解密 数据 ， 那 么 存储 或 传输 的 加 密 过 的 结果 数据 是 没有 意义 的 。 只 要 数据 需 
要 在 一 个 不 可 信和 网 络 上 保持 机 密 ， 那 么 就 应 该 对 数据 进行 加 密 。 

通常 在 两 种 情况 下 需要 对 数据 进行 加 密 。 当 需要 安全 的 存储 或 者 传输 秘密 的 或 者 需要 高 
度 机 密 性 的 信息 时 ， 需 要 使 用 加 密 。 加 密 应 该 应 用 到 一 段 事 务 消息 上 ， 并 且 不 应 该 在 数据 字 
段 边界 对 齐 。 一 方面 ， 数 据 需 要 保护 ; 另 一 方面 ， 事 务 需 要 保护 。 

加 密 方法 主要 有 两 种 : 私有 密 钥 和 公开 密 钥 。 对 于 前 者 来 说 ， 加 密 和 解密 都 使 用 同一 个 
共享 的 秘密 的 或 者 私有 的 密 钥 ; 后 者 使 用 一 个 秘密 的 或 者 私有 的 密 钥 来 进行 解密 ， 但 不 同 的 
是 它 使 用 一 个 数学 上 配对 的 公开 密 钥 来 进行 加 密 。 根 据 具体 需求 和 实现 的 不 同 ， 这 两 种 方法 
都 有 自己 的 优点 。 


15.1 私有 密 钥 加 密 


私有 密 钥 加 密 在 一 个 或 多 个 参与 方 之 间 使 用 一 个 共享 的 秘密 密 钥 。 对 于 各 个 参与 方 来 说 ， 
拥有 该 密 钥 意味 着 他 们 之 间 可 以 互相 认证 。 私 有 密 钥 技术 的 一 个 常见 用 途 是 用 来 对 用 户 密 码 
进行 认证 。 用 户 密码 的 加 密 版 本 保存 在 计算 机 上 。 用 户 在 登录 时 提供 用 户 ID 和 相关 的 密码 。 
然后 密码 加 密 ， 如 果 加 密 后 的 密码 同 所 保存 的 与 用 户 ID 相关 的 密码 相 匹配 ， 那 么 用 户 就 会 通 
过 认证 。 

私有 密 钥 技术 也 可 以 用 来 对 数据 进行 加 密 。 密 钥 保存 在 加 密 过 的 文件 里 ， 并 且 解 密 数 据 
必须 要 提供 密 钥 。 私 有 密 钥 加 密 的 缺点 在 于 密 钥 是 在 两 个 参与 方 《用户 和 计算 机 ) 之 间 共 享 
的 。 由 计算 机 过 程 生成 的 会 话 密 钥 可 以 用 于 使 用 加 密 的 安全 通信 ， 它 不 需要 用 户 的 任何 参与 
或 者 知道 。 这 些 密 钥 可 以 保存 在 内 存 中 。 用 于 加 密 数 据 ( 以 加 密 格式 保存 ) 的 密 钥 是 由 用 户 
而 不 是 由 计算 机 系统 所 保管 的 。 


15.1.1 DES 加 密 


最 常 使 用 的 私有 密 钥 加 密 标准 是 BM 在 20 世 纪 70 年 代 早期 开发 的 数据 加 密 标 准 ( Data 
Encryption Standard, DES )。 它 是 用 于 加 密 系统 的 事实 标准 ， 并 且 是 世界 上 使 用 最 广 泛 的 加 
密 机 制 。 这 种 私有 密 钥 系统 广泛 用 于 包括 自动 柜员 机 和 零售 网 络 在 内 的 金融 网 络 中 。1977 年 ， 
它 被 美国 政府 采纳 为 联邦 信息 处 理 标准 ( Federal Information Processing Standard，FIPS PUB 
46 )， 并 在 1981 年 成 为 美国 国家 标准 (American National Standard，ANSI X3.92 )。 关于 该 算 
法 使 用 模式 的 更 进一步 的 分 类 包含 在 ANSI 标 准 X3.106 中 。 这 种 加 密 对 个 人 标识 号 ( Personal 
Identification Uumber，PIN ) 的 具体 应 用 是 在 ANSI X9. 儿 | 国际 标准 化 组 织 〈 International 
Standards Organizaiton，ISO ) 9564 中 提出 的 。 DES 算 法 使 用 一 个 56 位 的 私有 密 铜 ( 另 加 8 位 
用 于 密 钥 完整 性 检查 )， 并 操作 64 位 的 数据 块 。 

图 15-1 说 明了 这 种 基于 私有 密 钥 的 加 密 过 程 。 客 户 使 用 一 个 私有 密 钥 和 一 个 加 密 算 法 把 
消息 变换 成 不 可 理解 的 形式 。 服务 器 使 用 同一 密 钥 和 同一 加 密 算法 来 逆转 该 过 程 ， 并 重新 建 
立 可 以 理解 的 消息 。 该 过 程 的 安全 性 取决 于 私有 密 钥 的 秘密 性 。 
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图 15-1 私有 密 钥 加 密 


这 种 加 密 过 程 可 以 使 用 软件 也 可 以 使 用 硬件 来 处 理 。 几 家 厂商 提供 了 可 以 运行 在 许多 不 
同 平台 上 的 加 密 产 品 。 另 外 ， 也 有 专门 为 执行 加 密 算 法 而 设计 的 特殊 硬件 。 有 些 产品 在 智能 
卡 或 者 PCMCIA 卡 中 提供 DES 加 密 能 力 。 在 这 种 情况 下 ， 算 法 和 加 密 密 钥 驻 留 于 卡 上 ， 并 且 
能 够 随处 移动 。 如 果 速 度 要 求 非常 重要 ， 或 者 软件 解决 方案 不 能 提供 足够 的 处 理 能 力 ， 那 么 
硬件 解决 方案 是 更 有 吸引 力 的 。 | 

DES 加 密 算法 至 今 还 没有 被 成 功 地 破解 过 ， 至 少 是 就 我 们 所 知 的 而 言 。 然 而 ， 可 用 计算 
能 力 的 飞速 增长 可 能 会 在 将 来 提供 破解 该 算法 的 能 力 。 据 估计 ， 一 个 每 秒 能 进行 一 次 DES 加 
密 的 计算 机 需要 2000 年 的 时 间 才 能 破解 一 个 密 钥 。 然 而 ，DES 毕 竟 是 很 老 的 技术 。 理 论 研究 
已 经 表明 DES 是 可 以 攻破 的 。 破 解 该 算法 的 能 力 是 建立 在 加 密 密 钥 的 大 小 基础 上 的 。 三 重 
DES ( Triple-DES， 使 用 两 个 密 钥 来 运行 三 次 DES 算 法 ) 的 使 用 能 够 延长 该 算法 的 寿命 。 


15.1.2 自动 柜员 机 


我 们 可 以 使 用 自动 柜员 机 ( Automated Teller Machine，ATM ) 来 得 到 现金 或 者 把 钱 存 到 
自己 的 银行 账户 中 。 大 多 数 的 ATM 都 使 用 DES 加 密 算法 来 提供 所 需 的 事务 机 密 性 。 事 务 中 的 
一 些 部 分 实际 上 会 加 密 两 次 (使 用 两 个 不 同 的 密 钥 )， 所 产生 的 机 密 信息 至 今 尚未 被 破解 过 。 
当 一 项 ATM 事 务必 须 通 过 网 络 边界 时 ， 它 的 机 密 性 就 变 得 更 加 重要 。 图 15 - ?说 明了 一 个 典型 
的 ATM 事 务 。 

对 于 典 再 的 ATM 事 务 来 说 ， 旷 中 有 两 个 部 分 是 高 度 机 密 的 。 第 一 个 是 用 户 使 用 ATM 时 提 
供 的 个 人 标识 号 (PIN )， 另 一 个 是 事务 本 身 的 详细 说 明 。 插 到 机 器 内 以 启动 事务 的 银行 卡 提 
供 了 所 需 的 认证 。 用 户 在 事务 期 间 输 入 的 PIN 号 提供 了 用 于 认证 的 基础 。 该 PIN 使 用 一 个 专门 
用 于 PIN 的 密 钥 来 加 密 ， 并 且 加 密 后 的 PIN 插 入 到 事务 消息 中 。 

然后 ， 该 消息 中 的 一 些 部 分 使 用 一 个 专门 用 于 消息 安全 传输 的 密 钥 来 加 密 。 在 这 种 方式 
下 ，PIN 实 际 上 加 密 了 两 次 。 当 消息 到 达 主机 系统 时 ， 消 息 就 使 用 传输 密 钥 来 解密 。 如 果 消 息 
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必须 要 通过 网 络 边界 ， 那 么 它 会 使 用 原始 网 络 传输 密 钥 来 解密 ， 然 后 再 使 用 目标 网 络 传输 密 
钥 来 加 密 。 为 了 降低 主机 的 负担 ， 该 过 程 一 般 是 由 特殊 功能 的 硬件 来 执行 的 ， 并 且 这 也 提供 
了 一 个 安全 的 、 防 篡改 的 能 力 。 在 从 ATM 中 得 到 现金 之 前 ， 上 面 所 有 这 些 处 理 都 要 先进 行 。 


已 用 PIN 密 钥 加 密 











PIN# wp | 事务 

















PIN# C 一 ， 





已 用 传输 密 钥 加 密 
图 15-2 ATM 交 易 


15.1.3 私有 密 钥 的 考虑 


私有 密 钥 DES 算 法 的 使 用 已 在 金融 界 生 根 。 几 乎 所 有 的 自动 柜员 机 都 使 用 DES 来 保护 从 
机 器 传输 到 处 理 中 心 的 数据 。 吉 密 和 解密 使 用 同一 密 钥 ， 因 此 必须 要 安全 保存 密 钥 以 免 泄 漏 。 
如 果 泄 露 了 一 个 密 钥 ， 那 么 使 用 该 密 钥 的 所 有 地 点 都 会 有 很 大 的 损失 。 密 钥 的 保存 和 使 用 必 
须要 在 一 个 安全 的 方式 下 进行 。 

密 钥 管理 是 DES 加 密 的 一 个 重要 问题 ,这 是 因为 对 于 处 理 两 端 来 说 加 密 和 解密 密 钥 必须 
是 已 知 的 。 必 须要 使 用 一 个 更 安全 的 方法 来 改变 和 保存 密 钥 。 执 行 加 密 过 程 需 要 计算 能 力 。 
需要 加 密 或 解密 的 数据 量 越 大 ， 所 需要 的 处 理 能 力 就 越 大 。 私 有 密 铀 方法 非常 适合 这 种 情况 ， 
_ 个 地 点 需要 同 相对 较 少 的 几 个 应 用 程序 或 用 户 进行 安全 交互 。 加 密 密 钥 的 管理 可 以 在 一 个 
安全 方式 下 完成 ， 并 且 密 钥 的 机 密 性 能 够 得 到 保证 。 


15.2 公开 密 钥 加 密 


1975 年 5 月 ， 由 Whitfield Diffie 和 Martin Hellman 开 发 的 公开 密 钥 技术 成 了 密码 历史 上 的 
一 个 转折 点 。 公 开 密 钥 加 密 也 称 非 对 称 加 密 一 一 使 用 两 个 分 离 的 但 数学 上 相关 的 密 钥 。 
每 个 用 户 有 一 对 密 钥 ， 其 中 一 个 是 应 该 严格 保持 机 密 的 ( 私有 密 钥 )， 另 一 个 是 同 其 他 用 户 或 
者 计算 机 共享 的 (公开 密 钥 )。 这 两 个 密 钥 在 数学 上 是 相关 的 ， 二 者 都 要 在 加 密 / 解 密 过 程 中 
使 用 。 一 条 使 用 公开 密 钥 加 密 的 消息 只 能 使 用 私有 密 钥 来 解密 。 这 种 方法 较 之 私有 密 钥 技 术 
的 先进 之 处 在 于 私有 密 钥 永远 不 能 同 其 他 参与 者 共享 。 公开 密 钥 技术 的 另 一 个 优点 是 它 可 用 
于 创建 数字 签名 。 数 字 签 名 是 用 来 校 验 电子 消息 发 送 者 和 内 容 的 。 


15.2.1 RSA 公 开 密 钥 





RSA (由 Ronald Rivest、Adi Shamir 和 Leonard Adleman 提 出 ) 是 一 种 公开 密 钥 算法 ， 它 
是 建立 在 Diffie -Hellman 最 初 开发 的 算法 之 上 的 。 这 种 系统 使 用 两 个 相关 的 、 互 补 的 密 钥 ， 
其 中 用 于 加 密 的 那 一 个 是 需要 保持 机 密 的 ， 而 另 一 个 用 于 解密 的 是 公开 的 。 对 于 加 密 过 程 来 
说 ， 只 有 私有 密 钥 是 已 知 的 ， 它 必须 要 保持 机 密 。 RSA 算 法 的 使 用 正在 迅速 扩大 ， 特 别 是 在 
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电子 消息 和 电子 邮件 领域 。 这 种 算法 的 缺点 在 于 它 需 要 很 大 的 计算 能 力 ， 因 此 其 速度 要 比 
DES 的 慢 。 

DES 加 密 密 钥 的 大 小 已 经 固定 为 64 位 ， 而 基于 RSA 密 钥 的 大 小 是 可 变 的 。RSA 算 法 可 以 
使 用 一 个 比 DES 长 得 多 的 密 钥 〈 常用 的 是 512 位 )。 因 此 ，RSA 被 认为 比 DES 更 健壮 。 然 而 尽 
管 这 样 ，429 位 (RSA 129 ) 密 钥 在 1994 年 4 月 被 一 个 由 数 百 个 研究 人 员 组 成 的 队伍 使 用 许多 
小 时 的 计算 时 间 破 解 了 。 

RSA 技 术 也 可 以 为 文档 认证 提供 数字 签名 。 一 个 消息 摘要 是 通过 使 用 一 个 作用 在 文档 上 
的 散 列 函数 产生 的 ， 然 后 该 文档 使 用 私有 密 钥 进 行 加 密 。 这 种 摘要 是 附加 到 消息 上 的 数字 签 
名 。 数 字 签 名 的 解密 需要 使 用 公开 密 钥 和 同一 散 列 函数 ， 它 应 该 产生 同 消 息 摘要 一 样 的 结果 。 
1985 年 ，EIGamal 在 RSA 系 统 的 基础 上 提出 了 一 个 替代 的 公开 密 钥 加 密 系统 。 这 种 系统 用 于 认 
证 ， 并 形成 了 被 提议 为 美国 数字 签名 标准 (U.S. Digital Signature Standard，DSS ) 的 基础 。 
图 15-3 说 明了 公开 密 钥 加 密 过 程 。 


客户 机 具有 两 个 密 钥 服务 器 有 客户 机 公开 密 
钥 的 一 份 拷贝 。 
私有 密 钥 和 公开 密 钥 是 
私有 密 钥 。 公开 密 角 数学 相关 的 。 
服务 器 使 用 客户 机 的 公开 密 
钥 加 密 客户 机 的 消息 。 
客户 机 的 私有 密 铀 可 以 
用 来 解密 消息 





加 密 过 的 
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图 15-3 公开 密 钥 加 密 


在 图 15-3 中 ， 客 户 机 有 两 个 加 密 密 钥 ， 公 开 的 和 私有 的 。 公 开 密 钥 对 于 服务 器 也 是 已 知 
的 。 发 送 到 客户 机 的 消息 是 使 用 客户 机 的 公开 密 钥 进行 加 密 的 。 然 后 ， 客 户 机 使 用 私有 密 铀 
来 解密 消息 。 使 用 这 种 方法 ， 只 有 具有 私有 密 钥 的 客户 机 才能 成 功 地 对 该 消息 进行 解密 。 

参与 双方 的 安全 通信 可 以 通过 公开 密 钥 的 一 次 交换 来 实现 。 例 如 ， 如 果 Beth 想 把 一 条 
安全 消息 发 送 给 Ted， 并 且 要 保证 只 有 Ted 才 能 读 取 该 消息 ， 那 么 他 可 以 使 用 Ted 的 公开 密 钥 
来 加 密 这 条 消息 。 只 有 Ted 才 能 解密 这 条 消息 〈 使 用 他 的 私有 密 钥 )。Ted 可 以 使 用 Beth 的 公 
开 密 钥 来 加 密 他 对 Beth 的 响应 ， 然 后 Beth 可 以 使 用 他 的 私有 密 钥 来 解密 Ted 的 响应 。 如 果 
Beth 想 让 任何 人 都 可 以 读 取 该 消息 ， 那 么 他 可 以 使 用 他 的 私有 密 钥 来 加 密 消 息 ， 知 道 Beth 
的 公开 密 钥 的 任何 人 都 可 以 解密 该 消息 。 如 果 Beth 想 证 明 只 有 他 才 发 送 了 一 条 消息 ， 那 么 
他 可 以 使 用 他 自己 的 私有 密 钥 来 为 消息 (Ted 将 使 用 Beth 的 公开 密 钥 来 解密 该 消息 ) 创建 一 
个 数字 签名 。 关 于 使 用 谁 的 密 钥 可 能 会 有 点 迷惑 。 必须 要 小 心 谨慎 以 确保 安全 性 得 到 正确 
地 维护 。 


一 一 





15.2.2 公开 密 钥 的 考虑 


公开 密 钥 加 密 算法 要 比 私有 密 钥 算法 要 进行 更 多 的 计算 。 所 需 的 计算 能 力 总 量 是 基于 
所 使 用 的 加 密 密 钥 的 大 小 的 。 密 钥 越 大 ， 破 解 它 的 可 能 性 就 越 小 ， 但 加 密 和 解密 过 程 所 需 
的 处 理 能 力 就 越 高 。 如 果 大 量 的 用 户 都 需要 独立 的 密 钥 ， 那 么 密 钥 管理 就 成 了 一 个 问题 。 
每 个 用 户 位 置 都 必须 维护 或 者 能 够 访问 用 于 用 户 的 公开 密 钥 的 或 者 他 们 和 希望 与 之 交互 的 应 
用 程序 的 目录 。 公 开 密 钼 方法 适合 于 这 种 情况 : 用 户 要 求 同 其 他 几 个 应 用 程序 或 者 用 户 进 
行 安全 交互 。 这 定义 为 用 户 到 应 用 程序 的 多 对 多 的 关系 。 公 开 密 钥 算法 通常 包括 可 用 于 确 
认 的 数字 签名 功能 。 


大 多 数 加 密 机 制 的 强度 都 是 基于 两 个 因素 的 ， 算 法 的 完整 性 和 所 用 密码 的 长 度 。 大 
多 数 加 密 机 制 ， 如 RSA 和 DES， 支持 不 同 的 版 本 ， 其 基础 是 在 特定 实现 中 使 用 密 铀 的 长 度 。 
例如 ，RSA 129 使 用 一 个 129 位 (或 者 一 个 429 位 ) 密 钥 长 度 。DES 有 一 个 称 做 弱 DES 的 实 
现 ， 由 于 它 使 用 了 一 个 更 短 的 密 钥 ， 所 以 它 不 受 标准 美国 出 口 限定 的 限制 。 










15.2.3 认证 中 心 - 


| 为 数 百 个 用 户 管理 公开 密 钥 是 一 个 大 问题 。 每 个 用 户 如 何 能 够 知道 他 们 机 能 与 之 通信 的 
每 一 个 其 他 用 户 或 服务 器 ? 这 个 问题 的 一 个 解决 方案 是 使 用 由 认证 中 心 所 管理 的 证 书 。 证 书 
是 一 个 签名 过 的 消息 ， 它 指定 了 名 字 和 公开 密 钥 。 认 证 中 心 是 这 些 证 书 的 安全 仓库 。 一 个 证 
书 是 一 份 数据 记录 ， 它 一 般 包 含 了 用 户 的 公开 密 钥 、 所 用 加 密 算法 的 类 型 、 证 书 所 有 者 的 名 
字 、 证 书 有 效 时 间 、 证 书 颁发 者 以 及 用 来 确认 证 书 的 数字 签名 。 

如 果 一 个 用 户 想 使 用 公开 密 钥 加 密 把 一 条 消息 发 送 到 另 一 个 用 户 或 者 服务 器 ， 但 不 知道 
预定 目的 地 的 公开 密 钥 ， 那 么 他 可 以 向 认证 中 心 请 求 得 到 这 个 密 钥 。 用 户 必须 要 首先 知道 认 
证 中 心 的 公开 密 钥 ， 并 使 用 它 来 重新 获得 该 认证 中 心 所 服务 的 那个 用 户 的 公开 密 钥 。 认 证 中 
心 也 可 以 用 来 检验 用 户 的 认证 和 凭证， 并且 可 能 会 需要 为 用 户 使 用 其 他 网 络 应 用 和 服务 生成 认 
证 证 书 。 

认证 中 心 有 责 任 保护 和 管理 证 书 ， 这 包括 建立 、 截 止 和 撤销 证 书 。 用 于 证 书 和 认证 中 心 
处 理 的 具有 统治 地 位 的 标准 是 开放 系统 互联 ( Open System Interconnect，OSI ) 标准 X.509。 
X.509 认 证 框架 是 一 个 在 计算 业界 广泛 接受 的 标准 ， 而 不 仅仅 是 OSI 网 络 。 该 标准 定义 了 证 书 
的 结构 、 管 理 证 书 的 协议 以 及 可 用 来 提供 认证 的 方法 ， 其 中 包括 数字 签名 。 

一 个 主要 的 问题 是 ; 谁 提供 认证 中 心 ? 现在 已 经 存在 有 许多 认证 中 心 ， 其 中 每 个 都 有 不 
同 的 用 户 群 。 一 个 认证 中 心 可 以 代表 一 个 用 户 同 另 一 个 认证 中 心 进行 认证 事宜 。 因 特 网 请 求 
注释 ( Intemet Request for Comment，RPC ) 1422 包 含 了 认证 中 心 的 组 织 和 层次 结构 应 该 遵循 
的 建议 。 银 行 、 邮 局 甚至 信用 卡 处 理 者 都 将 争夺 运作 认证 中 心 的 机 会 看 来 是 自然 的 。 电 话 公 
司 也 已 开始 宣布 他 们 对 提供 网 络 认 证 中 心服 务 的 宏伟 大 计 。 


15.3 加 密 问 题 


当选 择 加 密 技术 时 ， 加 密 算法 所 需要 的 密 钥 管 理 是 涉及 到 的 一 个 复杂 问题 。 如 果 使 用 一 
个 私有 密 钥 算 法 ， 那 么 对 消息 或 数据 进行 加 密 或 解密 的 所 有 地 点 都 需要 安全 地 使 用 和 保存 同 
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一 密 钥 。 为 了 维护 数据 所 需 的 安全 性 ， 对 私有 密 钥 的 任何 改变 都 需要 在 所 有 这 些 地 点 上 同步 
地 以 一 个 安全 的 方式 来 实现 。 公 开 密 钥 方法 要 求 为 系统 的 所 有 用 户 选 择 和 实现 独立 密 钥 对 。 
这 可 能 会 导致 一 种 需求 ， 即 需要 生成 、 分 派 和 使 用 大 量 的 密 钥 。 公 开 密 钥 加 密 的 基本 问题 是 
密 钥 的 增殖 问题 ,私有 密 钥 加 密 的 首要 问题 是 用 户 必须 知道 私有 密 钥 。 


15.3.1 加 密 密 钥 管理 


加 密 密 钥 的 管理 要 求 必须 解决 几 个 具体 的 密 钥 管 理 问 题 。 密 钥 生 成 和 注册 指 的 是 把 密 钥 
同 其 预期 应 用 绑 定 在 一 起 的 能 力 。 问 题 在 于 如 何 把 密 钥 同一 个 用 户 关联 起 来 。 如 何 把 加 密 密 
钥 传 送 到 所 有 需要 加 密 的 地 点 ? 这 是 密 钥 发 布 所 涉及 到 的 问题 。 密 钥 激活 / 停 用 指 的 是 启用 或 
者 禁用 密 钥 的 能 力 。 密 钥 可 能 会 在 一 个 同 间隔 或 时 间 相 关 的 过 程 中 改变 。 特 殊 的 密 钥 可 能 只 
用 于 改变 的 加 密 密 钥 的 安全 发 布 。 密 钥 更 新 或 者 替换 是 从 一 个 加 密 密 钥 到 另 一 个 加 密 密 钥 的 
组 织 改变 。 密 钥 废除 或 终止 指 的 是 把 加 密 密 钥 标记 成 无 效 的 能 力 。 如 果 怀 疑 一 个 现 有 密 铀 受 
到 了 破坏 ,那么 在 这 种 情况 下 需要 进行 密 钥 废除 或 终止 。 

美国 国家 标准 协会 ( American National Standards Institute，ANSI ) 已 经 定义 了 一 个 标准 
来 管理 金融 部 门 的 密 钥 发 布 过程 。 金 融 单位 密 钥 管 理 〈 批 发 ) 标准 一 一 ANSI X9.17 是 在 1985 
年 定义 的 。 加 密 密 钥 的 安全 改变 需要 使 用 多 层 密 钥 。X9.17 标 准 为 建立 新 密 钥 和 蔡 换 现 有 密 钥 
定义 了 一 个 协议 。 

当 考 虑 到 对 密 钥 契 约 的 需求 时 ， 另 一 个 密 钥 管 理 问题 变 得 很 重要 。 即 如 果 有 额外 的 目的 ， 
如 何 把 一 个 加 密 密 钥 保存 在 第 三 方 契 约 中 。 如 果 一 个 具有 公司 加 密 数 据 的 用 户 离开 公司 并 拿 
走 密 乌 ， 那 么 在 这 种 情况 下 上 面 的 问题 就 变 得 非常 重要 。 如 果 不 能 拿 到 加 密 密 钥 ， 那么 访问 
这 些 数 据 是 不 可 能 的 。 预 先 把 密 钥 保存 在 契约 中 可 以 解决 该 问题 。 另 一 方面 ， 公司 也 需要 具 
有 一 个 要 求 员工 秘密 保管 加 密 密 钥 的 策略 。 如 果 钥 匙 挂 在 门 外 的 把 手 上 的 话 ， 那 么 门 再 坚固 
的 锁 也 形同虚设 。 


15.3.2 出 口 考虑 


美国 可 用 的 加 密 技术 归 类 为 军需 品 。 除 非 可 以 得 到 一 个 专 有 的 出 口 许可 ， 否 则 这 些 技术 
是 不 允许 出 口 到 北美 境外 的 。 许 可 证 的 批准 通常 是 依赖 于 具体 加 密 算法 和 所 针对 的 数据 类 型 
的 。 如 果 加 密 需 求 同 一 个 包含 环境 中 的 特殊 数据 有 关 ， 那 么 获得 许可 证 就 相对 容易 些 ; 如 果 
申请 许可 证 的 实现 可 用 于 通用 加 密 而 不 是 局 限于 特殊 数据 ， 那 么 获得 许可 证 的 难度 就 很 大 。 
对 于 出 口 许可 证 应 用 来 说 ， 从 应 用 提出 到 批准 可 能 会 花 数 个 月 的 时 间 。 针对 金融 机 构 的 出 口 
限制 有 一 些 宽松 之 处 。 

如 果 要 执行 加 密 算法 的 应 用 程序 所 使 用 的 算法 是 针对 于 预定 义 的 数据 和 预定 义 的 功能 的 ， 
那么 获得 出 口 许可 证 可 能 会 容易 些 ; 如 果 要 出 口 用 来 开发 加 密 能 力 的 通用 技术 而 不 是 应 用 程 _ 
序 , 那么 获得 出 口 许可 证 就 困难 得 多 。 近 来 的 开发 已 经 表明 ， 有 些 公开 密 钥 技术 的 发 布 和 使 
用 涉及 到 了 版 权 问题 。 同 任何 捐赠 软件 一 样 ， 捐赠 加 密 机 制 的 用 户 也 应 该 检查 这 些 机 制 合用 
的 版 权 或 者 官方 限制 。 


15.3.3 评估 考虑 
根据 所 选择 的 加 密 算法 ， 计 算 机 资源 会 受到 不 同 程度 的 性 能 影响 。 公 开 密 铀 算法 通常 要 
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比 私 有 密 钥 算法 需要 更 多 的 处 理 资源 。 资 源 的 利用 情况 也 取决 于 所 选择 的 用 于 公开 密 钥 加 密 
的 加 密 密 钥 的 大 小 。 加 密 密 钥 的 位 数 越 多 ， 加 密 过 的 消息 就 越 安全 ， 但 是 也 就 需要 越 多 的 计 
算 资 源 。 加 密 算法 的 强度 也 是 很 重要 的 ， 它 必须 要 同 加 密 密 钥 的 大 小 一 同 考虑 。 

对 加 密 技 术 支 持 的 访问 应 该 是 可 用 的 。 密 钥 生 成 和 分 派 的 易 使 用 性 是 一 个 因素 。 所 需 密 
钥 管理 过 程 的 可 用 性 也 是 一 个 考虑 事项 。 密 钥 管理 本 身 必 须 能 以 一 个 安全 的 方式 进行 处 理 。 
对 现 有 应 用 和 过 程 所 使 用 的 加 密 技术 的 完整 性 的 影响 也 应 该 是 一 个 考虑 事项 。 使 用 硬件 来 加 
密 要 比 使 用 软件 方法 更 昂贵 ， 但 是 这 样 可 以 避免 性 能 问题 。 只 有 在 需要 一 个 完全 处 于 应 用 系 
统 之 外 的 解决 方案 的 情况 下 ， 硬 件 解 决 方案 才 值 得 考虑 。 


15.3.4 应该 加 密 的 内 容 


从 前 面 可 知 ， 加 密 应 该 用 于 两 个 不 同 的 目的 。 加 密 的 第 一 个 目的 是 为 认证 或 者 授权 组 件 
(例如 密码 、 个 人 标识 号 PIN 和 任何 消息 认证 标记 ) 的 存储 和 传输 提供 机 密 性 ， 第 二 个 目的 是 
为 了 网 络 传输 的 机 密 性 。 

对 于 加 密 服务 的 一 个 最 小 或 者 推荐 实现 来 说 ， 其 变化 会 是 在 加 密 的 信息 量 上 而 不 是 在 加 
密 技 术 上 。 加 密 应 该 总 是 用 到 登录 密码 或 者 其 他 用 于 认证 或 授权 的 信息 的 安全 存储 和 传输 上 。 
它 应 该 用 于 客户 指派 信息 ( 如 PIN ) 的 安全 存储 和 传输 。 当 其 包括 在 一 个 传输 消息 中 时 ， 任 何 
消息 认证 代码 或 者 数字 签名 都 应 该 加 密 。 

在 网 络 上 特别 是 在 一 个 不 可 信和 网 络 上 传输 的 消息 应 该 加 密 。 加 密 过 的 数据 不 应 该 限定 在 
事务 字段 边界 ， 并 且 应 该 包括 每 个 消息 中 可 能 改变 的 字段 部 分 。 这 样 会 使 得 推测 或 者 重 放 消 
息 中 的 值 变 得 非常 困难 。 例 如 ， 每 个 消息 的 11 ~ 27 字 节 都 应 该 加 密 。 这 能 防止 攻击 者 重 放 一 
条 截获 的 消息 。 任 何 归 类 为 高 度 机 密 的 信息 在 存储 或 者 传输 时 都 应 该 进行 加 密 。 


15.3.5 影响 和 风险 


加 密实 现 对 支持 加 密 算法 的 处 理 资源 的 影响 是 最 明显 的 。 加 密 算法 需要 CPU 周期 来 完成 
加 密 过 程 。 需 要 加 密 的 数据 字段 越 多 或 者 越 大 ， 支 持 加密 所 需 的 CPU 资源 所 受到 的 影响 就 越 
大 。 增 大 公开 密 钥 的 长 度 也 会 增加 所 耗费 的 处 理 周 期 。 

私有 密 钥 加 密 方法 的 主要 风险 是 加 密 密 钥 可 能 泄漏 。 因 此 ， 加 密 密 钥 的 安全 存储 是 必需 
的 。 如 果 每 个 用 户 都 使 用 单独 的 加 密 密 钥 ， 那 么 密 钥 泄漏 的 可 能 性 就 会 受到 限制 ， 但 是 这 会 
增 大 密 钥 管理 问题 的 难度 。 管 理 加 密 密 钥 所 受到 的 影响 取决 于 密 钥 的 数量 和 所 要 求 的 地 点 。 
必须 要 小 心 谨慎 以 保证 会 使 用 正确 的 加 密 密 铀 。 

有 一 种 方法 可 以 提供 不 会 影响 系统 处 理 的 加 密 ， 那 就 是 使 用 硬件 加 密 设 备 。 通 过 使 用 特 
殊 的 硬件 设备 ， 加 密 可 以 完全 在 应 用 程序 之 外 进行 。 如 果 所 有 地 点 都 使 用 了 加 密 设备 ， 那 么 
这 种 方法 可 以 保证 客户 机 和 服务 器 间 每 一 个 事务 的 安全 性 。 然 而 ， 这 种 方法 会 带 来 很 大 的 花 
费 ， 这 要 取决 于 使 用 地 点 的 数量 和 对 支持 和 备份 单元 的 需求 。 


15.3.6 ”Ciipper 忌 片 


克林顿 政府 对 硬件 加 密 标准 的 提议 引起 了 广泛 的 争论 。 这 项 消息 数字 加 密 标准 提议 是 基 
于 Clipper 加 密 计算 机 芯片 设计 和 Skipjack 加 密 算 法 的 。 Clipper 芯 片 的 推荐 使 用 包括 了 其 在 计 
算 机 硬件 和 无 线 数字 通信 领域 的 应 用 。 


a 
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关于 这 种 芯片 的 大 部 分 争论 都 是 这 种 芯片 的 一 个 安全 后 门 ， 该 后 门 允 许 美 国政 府 访 问 芯 
片 的 保密 数据 。 该 后 门 称 做 LEAF (Law Enforcement Access Field， 法 律 强制 访问 字段 ), 访 
问 它 需要 一 系列 的 密 铀 ， 而 这 些 密 钥 会 由 美国 政府 机 构 所 持 有 。 有 关 Clipper 芯 片 的 问题 包括 
芯片 的 成 本 和 性 能 、 担 心 侵犯 隐私 权 、 芯 片 在 美国 境外 的 可 接受 性 以 及 对 美国 计算 机 制造 业 
和 LEAF 访 问 控制 机 制 强度 的 影响 。AT&T 贝 尔 实验 室 的 Matt Blaze 博 士 在 1994 年 6 月 的 
《Protocol Failure in the Escrowed Eneryption Standard 》 一 文中 描述 了 LEAF 契 约 加 密 标 准 
(Escrowed Encryption Standard，ESS ) [NIST94] 算 法 中 的 可 疑 脆弱 性 。 


15.4 数字 签名 


数字 签名 是 一 种 证 明 电子 文档 的 来 源 和 内 容 的 方法 。 数 字 签名 是 建立 在 如 下 思想 上 的 ， 
如 果 把 一 份 文档 的 整个 内 容 作 为 对 一 个 加 密 算法 的 输入 ， 那 么 即使 对 源 文档 进行 最 小 的 修改 
也 会 导致 加 密 输出 的 明显 变化 ， 这 样 就 可 以 很 容易 地 检查 文档 是 否 完整 。 用 于 文档 的 加 密 机 
制 称 做 散 列 算法 ， 其 输出 称 做 消息 摘要 。 如 果 散 列 算法 也 使 用 一 个 仅 由 发 送 者 才 知 道 的 加 密 
密 钢 ， 那 会 如 何 呢 ? 结果 将 产生 一 个 文档 ， 对 文档 的 最 小 改变 也 可 以 检查 出 来 ， 并 且 文 档 创 
建 者 可 以 惟一 地 识别 。 

消息 摘要 是 使 用 发 送 者 的 私有 密 钥 创建 的 ， 该 密 铀 为 源 文档 产生 一 个 惟一 的 数字 签名 。 把 
发 送 者 的 公开 密 钥 给 接收 者 ， 它 用 来 验证 文档 中 的 数字 签名 ， 该 过 程 称 为 签名 验证 。 图 15-4 说 
明了 如 何 使 用 公开 密 钥 加密 来 生成 一 个 消息 摘要 。 接 收 方 要 重新 建立 该 消息 摘要 ， 并 将 其 与 
消息 中 附加 的 摘要 进行 比较 。 如 果 二 者 相符 ， 那 么 该 消息 就 确实 来 自发 送 方 并 且 没有 等 改 过 。 

如 果 一 个 消息 摘要 的 密 钥 只 有 发 送 者 才 知 道 ， 那 么 该 摘要 的 创建 就 称 做 数字 签名 。 消 息 
摘要 会 同 消息 的 原始 拷贝 一 起 发 送 到 文档 的 接收 者 。 接 收 者 使 用 源 文档 和 一 个 相似 的 散 列 算 
法 来 创建 第 二 个 消息 摘要 。 然 后 接收 者 把 重新 创建 的 消息 摘要 同 原始 摘要 进行 对 比 ， 这 样 即 
使 是 最 小 的 数据 或 者 签名 变化 都 会 检查 出 来 。 据 说 ， 数 字 签名 为 消息 的 内 容 和 创建 者 提供 了 
不 可 改变 的 证 据 。 图 15-4 概 括 说 明了 使 用 数字 签名 来 保护 消息 的 过 程 。 
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如 果 原 始 消息 必须 要 保持 机 密 ， 那 么 发 送 者 可 以 使 用 一 个 对 消息 独特 的 私有 密 钥 对 原始 
消息 进行 加 密 。 接 着 发 送 者 使 用 接收 者 的 公开 密 钥 对 该 密 钥 进行 加 密 ， 而 接收 者 可 以 使 用 他 
的 私有 密 钥 来 提取 该 密 铀 。 这 种 方法 看 起 来 很 复杂 ， 那 么 为 什么 不 只 使 用 公开 密 钥 来 加 密 和 
解密 整个 消息 呢 ? 使 用 私有 密 钥 方法 ( 如 DES 加 密 ) 的 原因 在 于 : 使 用 公开 密 钥 来 加 密 和 解 
密 文 档 要 比 使 用 私有 密 钥 慢 数 个 数量 级 。 

最 近 ， 商 务 部 国家 标准 与 技术 研究 所 (Department of Commerce’s National Institute of 
Standards and Technology ) 发 布 了 FIPS 标 准 186。 该 文档 提出 了 一 个 用 于 数字 签名 的 新 标准 ， 
称 做 数字 签名 标准 ( Digital Signature Standard，DSS )。DSS 使 用 了 一 个 称 做 数字 签名 算法 
(Digital Signature Algorithm，DSA ) 的 新 散 列 算法 。 

数字 签名 的 主要 应 用 领域 是 电子 邮件 、 文 档 提 交 、 公 共 网 络 上 的 电子 商务 以 及 电子 数据 
交换 ( Electonic Data Interchange，EDI )。 预 计 还 会 有 许多 其 他 的 应 用 。 可 以 预见 ， 基 本 上 任 
何 需要 不 可 改变 的 信息 认证 的 应 用 都 会 使 用 该 技术 。 只 要 你 信任 私有 密 钥 的 保密 性 ， 这 就 会 
发 生 。 问 题 是 怎么 说 服 法 院 ? 


15.5 小 结 


加 密 是 在 计算 系统 中 提供 机 密 性 的 最 佳 方法 之 一 。 如 果 有 人 获得 了 对 计算 机 系统 和 数据 
的 未 授权 访问 ， 那 么 加 密 可 以 起 到 第 二 道 防线 的 作用 。 如 果 数 据 加 密 了 ， 那 么 不 解密 数据 就 
没什么 用 处 了 。 在 安全 方案 中 ， 加 密 常 常 指定 为 一 项 需求 ， 并 且 有 可 能 甚至 是 在 机 密 性 需求 
弄 明 白 之 前 。 在 选择 特定 的 加 密 技术 之 前 ， 一 定 要 彻底 弄 明白 自己 的 需求 。 在 提供 机 密 性 这 
一 方面 ， 私 有 密 钥 方法 和 公开 密 铀 方法 各 有 所 长 。 因 为 公开 密 钥 技 术 提供 了 支持 多 对 多 关系 
的 能 力 ， 但 又 不 会 明显 地 增加 管理 难度 ， 所 以 近来 这 种 技术 引起 了 广泛 的 注意 。 请 记 住 ， 机 
密 是 需求 ， 加 密 是 方案 。 

加 密 在 操作 系统 和 网 络 控制 上 进一步 保护 了 公司 的 信息 资产 。 随 着 商业 和 建议 解决 方案 
日 益 增 长 的 可 用 性 ， 特 别 是 公开 密 钥 技 术 的 发 展 ， 使 用 加 密 来 增强 安全 性 会 变 得 越 来 越 普遍 。 
如 果 密 钼 管理 问题 能 够 得 到 进一步 解决 的 话 ， 加 密 技术 会 成 为 计算 安全 世界 中 的 一 把 利器 。 
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在 前 面 几 章 里 , 已 经 讨论 围绕 分 布 式 环境 中 信任 的 关键 问题 。 在 LAN 上 以 明文 形式 传送 
的 密码 是 很 容易 截获 和 发 现 的 。 通 过 改变 网 络 地 址 ， 基 于 网 络 标识 的 认证 可 以 很 容易 伪造 。 
客户 机 对 应 用 服务 器 只 进行 很 少 的 认证 或 者 根本 不 进行 任何 认证 ， 这 使 得 攻击 者 可 以 假 神 服 
务 提供 者 。 使 用 加 密 形式 在 LAN 上 传输 数据 并 不 是 大 多 数 操作 系统 所 提供 的 一 个 标准 功能 。 
大 多 数 的 操作 系统 和 应 用 程序 都 采用 中 心 主机 法 进行 认证 ， 这 使 得 用 户 必 须要 记 住 很 多 用 户 
ID 和 密码 。 最 后 ， 把 安全 从 系统 管理 员 的 责任 中 分 离 出 来 是 非常 困难 的 。 


16.1 DCE 的 概念 


前 面 那些 问题 已 经 伴随 我 们 很 多 年 了 。 开 放 软 件 基 金 会 (Open Software Foundation， 
OSF ) 的 分 布 式 计算 环境 (Distributed Computing Environment，DCE ) 是 解决 这 些 问 题 (和 
其 他 问题 ) 的 一 个 办 法 。DCE 为 在 多 厂商 环境 中 建立 安全 的 、 分 布 式 的 应 用 程序 提供 了 工具 
和 框架 。 当 前 ，DCE 在 很 多 不 同 硬件 平台 上 都 受到 支持 ， 这 包括 Bull、SUN、DEC、HP 和 
IBM。 许 多 操作 系统 都 支持 DCE， 其 中 包括 DOS/Windows、Windows/NT、OQOS/2、UNIX、 
VMS 以 及 MVS。 

OSF/DCE 环 境 是 由 许多 相关 的 但 却 独立 的 组 件 或 服务 组 成 的 。 它 的 体系 结构 是 非常 灵活 
的 ， 它 使 得 应 用 开发 人 员 可 以 在 OSF/DCE 的 实现 中 非常 方便 。OSF/DCE 环 境 包 括 安全 服务 、 
时 间 服 务 、 目 录 服 务 和 分 布 式 文件 服务 。 其 他 的 服务 在 将 来 实现 。 图 16-1 说 明了 OSF/DCE 环 
境 的 体系 结构 组 件 。 
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图 16-1 OSF/DCE 的 体系 结构 视图 


OSF DCE 提 供 了 一 个 重要 的 中 间 件 服务 框架 ( 在 网 络 、 操 作 系统 和 应 用 程序 之 间 )， 它 
以 一 个 安全 的 方式 把 客户 机 和 服务 器 结合 起 来 。 所 有 独立 组 件 都 是 互相 关联 的 。 例 如 ， 时 间 
服务 是 使 用 安全 服务 来 认证 客户 机 的 。 时 间 服 务 为 安全 服务 提供 了 对 DCE 和 凭证 到 期 时 间 的 
定义 。 

DCE 服 务 是 在 一 个 称 做 PCE 单 元 (cell ) 的 管理 域 中 提供 的 。 在 继续 探讨 之 前 ， 我 们 必须 
先 要 掌握 DCE 的 一 个 要 点 。 尽 管 DCE 提 供 了 一 套 相 关 服 务 ， 但 是 没有 哪 一 个 服务 是 必需 的 。 
例如 ， 一 个 DCE 单 元 可 以 选择 不 使 用 分 布 式 文件 服务 。 这 完全 由 单元 设计 者 来 考虑 ， 但 是 安 
全 服务 是 必须 使 用 的 。 每 个 独立 服务 也 可 以 以 不 同 的 方式 来 实现 。 极 大 的 灵活 性 导致 了 多 种 
多 样 的 客户 DCE 应 用 程序 。 至 于 一 个 特定 组 织 应 该 如 何 实现 DCE， 这 是 没有 任何 限制 规则 的 。 
在 介绍 每 个 DCE 服 务 之 前 ， 我 们 先 看 一 下 DCE 单 元 的 组 成 。 


16.1.1 DCE 单 元 的 概念 


DCE 单 元 的 组 成 和 结构 曾经 是 最 引入 注目 的 客户 讨论 之 一 。 什 么 是 DCE 单 元 ?对 于 这 个 
问题 ， 随 便 的 答案 是 “你 想 它 是 什么 ， 那 它 就 是 什么 ”"。 更 明确 的 答案 是 DCE 单 元 是 共享 一 个 
公共 命名 空间 、 安 全 策略 以 及 安全 域内 其 他 方面 的 一 组 联网 主机 和 服务 。 为 了 演示 目的 , 功 
能 完全 的 DCE 单 元 可 以 在 一 个 计算 机 系统 上 实现 。DCE 单 元 可 以 由 一 个 到 数 百 个 计算 机 系统 
(或 者 节点 ) 组 成 。 图 16-2 说 明了 典型 的 具有 几 百 个 客户 机 并 提供 多 种 服务 的 DCE 单 元 。 

单元 通常 根据 组 织 或 者 公司 的 结构 来 定义 。 对 于 DCE 单 元 的 大 小 的 限制 是 DCE 系 统管 理 
员 管理 单元 的 能 力 。 另 一 个 限制 是 ， 如 果 一 个 DCE 单 元 要 跨 过 WAN 连 接 ， 那 么 为 了 性 能 原因 
应 该 分 割 该 单元 。 一 个 单元 内 的 节点 数量 通常 是 由 上 面 两 个 因素 中 的 一 个 或 两 个 所 限定 的 。 
如 果 能 够 提高 WAN 性 能 并 改进 DCE 管 理工 具 ， 那 么 DCE 单 元 的 大 小 限制 就 会 减少 。 下 面 探讨 
一 下 DCE 的 各 个 独立 组 件 。 首 先 从 提供 多 任务 能 力 的 组 件 一 一 线程 一 一 开始 。 
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图 16-2 典型 的 DCE 单 元 


16.1.2 线程 


线程 允许 DCE 程 序 可 以 同时 服务 于 多 个 客户 机 请 求 。 来 自 客户 机 的 一 个 服务 请 求 可 能 正 
在 等 待 一 个 资源 的 释放 。 在 此 期 间 ，DCE 线 程 可 以 对 另外 的 请 求 提供 服务 或 者 临时 进行 服务 
器 例 行 维护 。 

一 个 多 线程 程序 支持 几 个 程序 执行 上 下 文 。 多 个 线程 存在 于 一 个 进程 内 ， 并 一 直 执行 到 
它们 终止 。 多 个 线程 不 仅仅 可 以 同时 执行 ， 而 且 还 可 以 共享 内 存 地 址 空间 、 外 部 数据 以 及 程 
序 变量 。 因 为 线程 互相 之 间 共 享 信息 ， 所 以 每 个 线程 必须 要 知道 其 他 线程 ， 并 且 绝对 不 能 执 
行 会 为 其 他 线程 带 来 负面 影响 的 代码 。 例 如 ， 一 个 线程 的 删除 绝对 不 能 破坏 其 他 “活动 的 ” 
线程 所 使 用 的 信息 。 保 护 线程 使 用 数据 的 完整 性 的 一 套 库 调用 术语 化 为 “线程 安全 ”。 

线程 最 常见 的 用 途 是 使 服务 器 可 以 同时 响应 来 自 不 同 客 户 机 的 多 个 接 入 请 求 。 “线程 化 ” 
方法 使 服务 器 可 以 通过 创建 线程 来 响应 接 入 客户 机 请 求 。 然 后 ， 客 户 机 直接 同 新 创建 的 线程 
进行 通信 。 服 务 器 进程 继续 执行 监听 新 客户 请 求 的 任务 。 当 客户 请 求 处 理 完成 以 后 ， 客 户 机 
对 应 的 线程 就 删除 。 这 辣 传统 的 UNIX 守 护 进 程 ( 创建 一 个 新 进程 来 响应 客户 机 请 求 ) 类 似 。 
然而 ， 创 建 一 个 线程 要 比 创建 一 个 新 进程 快 得 多 。 | 


16.1.3 远程 过 程 调用 


在 OSF/DCE 中 ， 远程 过 程 调用 ( Remote Procedure Call- 一 一 RPC ) 机 制 是 把 环境 结合 在 一 
起 的 “ 粘 结 剂 "。 一 个 DCE RPC 实 际 上 是 一 个 服务 器 代码 ， 在 一 个 同 客户 机 的 调用 例 程 所 分 离 
的 地 址 空间 内 执行 的 过 程 。 尽 管 一 个 DCE RPC 可 以 在 单独 一 台 机 器 上 执行 ， 但 是 RPC 最 常 出 现 
在 驻 留 于 通过 网 络 连接 的 独立 机 器 上 的 客户 机 和 服务 器 中 。 在 这 种 情况 下 ， 信息 必须 要 在 客户 
机 和 服务 器 间 共 享 。 公 共 数 据 必 须 是 客户 机 和 服务 器 都 可 用 的 ， 并 且 在 一 个 多 厂 商 环境 中 必须 
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要 达成 一 个 对 数据 的 公共 定义 。 还 有 ， 联 网 需求 和 不 可 靠 的 网 络 传输 协议 必须 要 加 以 处 理 。 
DCE RPC 向 程序 员 隐 藏 了 网 络 和 多 厂商 环境 的 复杂 性 。DCE RPC 运 行 时 库 替 程序 员 完 成 
了 如 下 任务 : 
。 为 客户 机 定位 一 个 适当 的 服务 器 一 一 使 用 绑 定 〈binding ) 进程 。 
。 把 数据 移动 成 在 网 络 上 共享 一 一 使 用 编组 (marshalling ) 进程 。 





。 印 载 服务 器 上 的 数据 一 一 使 用 反 编组 ( unmarshalling ) 进程 。 该 过 程 也 会 把 数据 转化 成 
合适 的 服务 器 机 器 格式 。 
。 执 行 相关 的 服务 器 代码 一 一 使 用 入 口 向 量 进程 。 





。 通 过 从 服务 器 上 编组 请 求 信息 在 网 络 上 来 回答 客户 机 请 求 。 这 些 信息 会 接着 在 客户 机 上 
被 反 编组 。 

DCE RPC 运 行 时 库 方 便 了 这 些 复杂 的 操作 。 开 发 人 员 只 需要 把 注意 力 放 在 客户 机 -服务 器 
接口 的 定义 上 。RPC 运 行 时 会 处 理 实际 的 通信 。 在 DCE 术 语 中 ， 服 务 器 所 使 用 的 数据 和 操作 是 
由 接口 定义 的 。 一 般 情 况 下 ， 一 个 应 用 程序 或 者 服务 有 许多 接口 ， 这 取决 于 要 回答 的 请 求 类 型 。 

创建 接口 的 第 一 步 是 创建 一 个 全 局 惟一 的 标识 符 ( Universal Unique Identifier，UUID )。 
该 UUID 是 使 用 uuidgen 特 殊 工具 生成 的 一 个 32 字 符 的 16 进 制 数 。 创 建 UUID 会 用 到 机 器 的 LAN 
硬件 地 址 和 当前 时 间 ， 这 样 能 够 为 每 个 DCE 接 口 生成 惟一 的 UUID。 所 有 的 DCE 接 口 ， 包 括 那 
些 由 时 间 和 安全 服务 所 使 用 的 接口 在 内 ， 都 有 自己 惟一 的 UUID。 

接口 是 通过 使 用 接口 定义 语言 (Interface Definition Language，IDL ) 特殊 语言 来 创建 的 ， 
这 对 客户 机 和 服务 器 来 说 是 一 样 的 。IDL 既 包含 了 用 于 接口 的 UUID 号 ， 也 定义 了 要 编组 的 输 
人 和 输出 数据 。 本 地 数据 定义 ( 用 于 具体 的 客户 机 或 服务 器 配置 ) 是 由 属性 配置 文件 
( attribute configuration file，ACL ) 特殊 功能 来 提供 的 。 


16.1.4 目录 服务 


目录 服务 的 目的 在 于 辅助 DCE 单 元 中 的 客户 机 查找 和 连接 资源 。 资 源 可 以 包括 应 用 程序 
服务 器 、 打 印 服务 或 者 数据 文件 。 上 县 录 服 务 不 是 必须 使 用 的 。 客 户 机 可 以 不 通过 一 个 目录 服 
务 而 直接 连接 到 服务 器 上 ， 但 是 使 用 目录 服务 可 以 带 来 好 处 ， 踊 服 务 可 以 改变 它 的 位 置 而 不 
会 损害 它 的 客户 。 

目录 服务 有 三 个 主要 的 组 件 ， 全 局 目录 服务 ( Global Directory Service，GDS )、 单元 目 
录 服 务 ( Cell Directory Service，CDS ) 以 及 全 局 目录 代理 ( Global Directory Agent，GDA )。 
本 地 单元 之 外 的 名 字 解 析 是 由 GDS 或 者 因特网 域名 系统 《Domain Name Service， DNS ) 提供 
的 。GDS 是 建立 在 X.500 目 录 标 准 上 的 ， 它 能 够 确定 出 当前 单元 之 外 的 资源 的 位 置 。X.500 标 
准 是 由 CCITT X.500 和 ISO 9594 标 准 规定 的 。DNS 是 一 个 广泛 使 用 的 全 局 名 字 服 务 ， 当 前 它 是 
用 于 在 因特网 上 定位 计算 机 的 事实 标准 。 

CDS 保 存 了 位 于 DCE 单 元 内 的 资源 的 名 字 和 属性 ， 它 为 这 些 资源 提供 了 一 个 中 心 查询 工 
具 。 客 户 机 不 仅仅 使 用 CDS 来 查找 本 地 应 用 程序 服务 器 ， 而 且 还 要 定位 DCE 服 务 器 ( 如 时 间 
服务 器 和 安全 服务 器 )。 当 一 个 服务 需要 有 多 个 拷贝 时 ， 通过 人 允许 每 个 拷贝 使 用 同一 个 名 字 注 
册 在 它 的 位 置 上 ，CDSs 方 便 了 元 余 服务 的 实现 。 客户 机 可 以 根据 名 字 和 其 他 属性 来 请 求 一 项 
服务 。GDS 会 将 它们 定向 到 一 个 合适 的 功能 服务 提供 者 。 

GDA 在 CDS 和 两 个 名 字 解 析 服 务 (DNS 和 GDS ) 之 间 提供 了 一 个 接口 。 图 16-3 提 供 了 一 
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个 单元 目录 服务 概 图 。 


| 客户 机 请 求 服 
CE 务 器 的 位 轩 












WAN 连 接 是 由 基于 
DNS ( 因特网 ) 或 
者 X.500 的 全 局 目录 . 


DCE 单 元 A 





单元 目录 服务 回答 
客户 机 查询 请 求 





服务 器 在 启动 时 注 
册 单 元 目录 服务 


DEC 单 元 B 






图 16-3 DCE 目 录 服 务 概 图 


客户 机 对 目录 服务 的 请 求 会 转 到 称 做 CDS 负 责 者 的 本 地 代理 上 ， 它 运行 在 客户 机 计算 机 
上 。CDS 负 责 者 保持 了 一 个 查询 请 求 缓存 。 如 果 缓 存 中 包含 了 所 请 求 的 信息 ， 那 么 就 会 立即 
满足 请 求 。 如 果 没 有 包含 ,那么 CDS 负 责 者 就 会 联系 CDS 服 务 器 。 


16.1.5 安全 服务 


DCE 安 全 服务 为 许多 TCP/IP 连 网 问题 提供 了 管 案 , 例如 第 7 章 中 介绍 的 密码 保护 和 欺骗 问 
题 。DCE 假 定 网 络 是 不 安全 的 ， 其 上 的 任何 信息 都 可 能 会 遭 到 未 经 授权 的 检查 或 修改 。 未 经 
认证 的 客户 机 或 者 服务 器 标识 是 不 可 信任 的 。DCE 假 定 客户 机 或 者 服务 器 可 能 是 假冒 的 。 

DCE 安 全 一 般 提供 : | 

。 每 个 单元 内 的 客户 机 和 服务 器 的 注册 ( 注册 服务 )。 

。 客户 机 和 服务 器 的 安全 认证 一 一 使 用 Kerberos 认 证 模型 《认证 服务 )。 

。 消息 保护 选项 一 一 有 助 于 保证 在 不 可 信 网 络 上 传输 的 数据 的 完整 性 和 机 密 狂 。 

。 访 问 控制 列表 一 一 允许 服务 器 授权 对 其 资源 的 访问 。 

。 安 全 服务 和 管理 是 同 其 他 单元 管理 功能 隔离 的 。 

将 在 下 一 章 中 详细 探讨 DCE 安 全 服务 。 


16.1.6 定时 服务 


分 布 式 计算 中 的 许多 关键 功能 都 需要 有 一 个 精确 的 时 间 表 示 。 计 算 机 需要 在 很 多 关键 功 
能 上 使 用 时 间 ， 这 包括 事务 的 协调 和 准确 审计 跟踪 的 维护 。 但 是 一 个 价值 50 000 美 元 的 工作 
站 和 一 个 10 块 钱 的 手表 比 起 来 ， 哪 个 走时 更 准 ? 答案 是 后 者 一 一 10 块 钱 的 手表 ! 计算 机 走时 
不 准 的 原因 在 于 它们 是 以 无 规律 的 速率 来 调整 其 时 钟 的 ， 所 以 其 时 钟 间 真正 时 间 比 起 来 是 忽 
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快 忽 慢 。 这 种 同 真正 时 间 的 偏差 术语 化 为 时 钟 偏 移 。 如 果 每 个 计算 机 都 走时 不 准 ， 那 么 试想 
一 下 一 千 台 计算 机 连 起 网 来 会 出 现 什 么 定时 问题 ! 

DCE 分 布 时 间 服 务 (Distributed Time Service ，DTS ) 在 ISO 8601 时 间 标 准 的 基础 上 为 该 
问题 提供 了 一 个 解决 方案 。 它 使 每 台 计算 机 可 以 从 DTS 服 务 器 处 得 到 一 个 统一 的 时 间 表 示 。 
通过 使 用 多 台 DTS 服 务 器 ， 提 供 了 宛 余 性 ， 客 户 机 通过 查询 这 些 服 务 器 来 找到 一 个 公共 时 间 
间隔 。 每 台 DTS 服 务 器 不 断 地 同 其 他 服务 器 进行 通信 以 同步 它 自己 的 时 钟 。 

DTS 并 不 是 为 每 个 客户 机 提供 一 个 绝对 的 时 间 定 义 ， 而 是 保证 所 有 客户 机 都 把 时 钟 设置 
到 一 个 预定 义 的 时 间 间 隔 内 。 如 果 认 为 系统 太 慢 ， 那 么 它 就 会 把 时 钟 调 快 到 标准 时 间 ; 但 是 
一 个 时 间 超 前 的 时 钟 并 不 会 调整 回去 ， 而 是 会 降低 速度 直至 其 时 间接 近 预 定义 的 时 间 间 隔 。 

时 间 定 义 可 以 来 自 一 个 通用 协调 时 间 ( Coordinated Universal Time, UTC ) 提供 者 ， 比 如 
原子 时 钟 、 政 府 时 间或 者 无 线 电台 。 另 外 , 也 可 以 使 用 网 络 时 间 协 议 ( Network Time Protocol， 
NTP )， 或 者 把 一 台 计 算 机 选 做 单元 的 真实 时 间 。 在 这 种 情况 下 ， 所 有 的 计算 机 都 要 以 一 个 同 
样 的 速度 同 真实 时 间 看 齐 ! . 

DTS 要 让 自己 即 通过 安全 服务 又 通过 客户 机 系统 的 认证 。 因 为 DCE 中 的 安全 凭证 对 时 间 是 
敏感 的 。 如 果 不 要 求 DCE 认 证 自己 ， 那 么 一 个 假冒 的 时 间 提 供 者 就 可 以 把 系统 时 钟 调 快 或 者 调 
慢 。 这 会 使 得 冒牌 者 可 以 把 过 期 凭证 作为 有 效 凭证 来 使 用 ， 或 者 把 现 有 的 所 有 安全 凭证 都 做 废 。 


16.1.7 分 布 式 文件 系统 


分 布 式 文件 系统 (Distributed File System，DFS ) 提供 了 对 数据 〈 如 文件 ) 进行 分 布 式 访 
问 和 管理 的 能 力 ， 如 图 16-4 所 示 。DFS 人 允许 用 户 可 以 透明 地 访问 分 布 式 文件 而 无 需 考 虑 用 户 或 
者 所 请 求 资源 的 物理 位 置 。DFS 是 建立 在 全 局 命名 约定 上 的 。 使 用 这 种 约定 ， 访 问 DFS 文 件 是 
使 用 一 个 名 字 来 进行 的 ， 它 无 须 考虑 所 访问 的 分 布 式 系统 具体 位 于 何 处 。 例 如 ， 单 元 Polaris 
中 的 example.txt 文 件 可 以 被 Polaris.canada.hp.com 单 元 之 内 或 者 之 外 的 任何 DCE 客 户 引 用 做 


/usr/example.txt。 


客户 机 请 求 股 | 国清 


务 器 的 位 置 单元 目录 服务 


回答 客户 机 的 
文件 查询 请 求 

















example.txt 





分 布 式 文件 系统 为 文 
件 提供 了 单一 观察 点 


图 16-4 DCE 分 布 式 文件 服务 
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通过 复制 DFS 服 务 器 和 资源 ，DFS 使 得 其 数据 和 服务 具有 高 度 可 用 性 。 复 制 使 得 一 个 文件 
可 以 有 多 个 拷贝 存在 于 分 布 式 服务 器 上 。 如 果 主 服务 器 出 现 故障 ， 那 么 客户 机 可 以 透明 地 访 
问 替 代 服 务 器 以 得 到 文件 。 这 种 类 型 的 复制 对 于 不 断 被 改变 的 和 由 多 个 用 户 访问 的 文件 来 说 
是 特别 有 用 的 。 缓 冲 技术 也 用 来 提供 宛 余 性 。 它 允许 文件 的 多 个 拷贝 存放 在 DFS 客 户 机 上 ， 
这 样 即 使 客户 机 暂时 同 服务 器 断 开 连接 ， 用户 也 可 以 访问 文件 的 拷贝 。 对 DFS 文 件 进 行 备份 
和 重 定位 都 不 会 使 文件 变 成 用 户 不 可 用 的 。DFS 也 有 能 力 同 其 他 类 型 的 网 络 文件 系统 进行 交 
互 。 通 过 PDFS 到 NFS 安 全 网 关 ， 惠 普 公 司 提供 了 对 安全 使 用 网 络 文件 系统 NFS ) 的 支持 。 


16.2. 关于 DCE 的 问题 . 


我 们 相信 PCE 为 在 部 署 分 布 式 应 用 程序 时 所 遇 到 的 很 多 问题 提供 了 解决 方案 。 近 几 年 来 ， 
对 DCE 环 境 的 支持 不 断 增加 ， 其 中 包括 主要 数据 厂商 提供 的 一 些 最 新 产品 。 然 而 ， 在 向 DCB 
环境 迁移 这 一 方面 ， 计 算 群 体 已 经 表示 出 了 一 些 勉强 之 意 。DCE 所 具有 的 一 些 缺 点 正在 阻止 
它 成 为 普遍 接受 的 中 间 件 技术 。 用 户 的 这 些 不 情愿 是 基于 下 面 这 些 考虑 的 : 

。 环 境 太 复杂 ， 难 以 编程 。 

。 因 为 会 增 大 流量 ， 所 以 有 些 网 络 可 能 会 性 能 下 降 。 

。 当 前 的 管理 工具 是 命令 行 式 的， 它们 需要 同 基于 GUI 的 网 络 管理 工具 结合 起 来 。 

。 主流 应 用 程序 厂商 对 OSF/DCE 的 支持 仍 很 有 限 。 

。 面 向 对 象 标准 委员 会 对 OSF/DCE 的 支持 不 够 。 

。 担心 DCE 不 会 获得 足够 的 推动 力 从 而 成 为 一 个 普遍 接受 的 技术 。 

尽管 对 OSF/DCE 的 将 来 发 展 存在 着 这 些 顾及 ， 但 也 有 一 些 积极 的 开发 工作 。 世 界 上 许多 
大 的 金融 组 织 现在 正在 部 署 使 用 该 技术 的 应 用 。 OSF/DCE 是 否 会 得 到 足够 的 推动 并 成 为 一 个 
普遍 接受 的 技术 ， 这 还 有 待 时 间 来 证 明 。 


16.3 结论 


现在 预测 OSF/DCE 的 将 来 是 不 可 能 的 。 很 明显 ，DCE 需 要 更 大 范围 的 承诺 ， 特别 是 来 自 
DOS/Windows 和 应 用 程序 解决 方案 领域 的 承诺 。 但 是 如 果 DCE 不 是 能 够 解决 所 涉及 到 的 问题 - 
的 方案 ， 那 会 如 何 呢 ? 现在 ， DCE 的 替代 物 看 起 来 要 以 粉碎 性 的 手段 来 攻击 这 些 问 题 ， 它 似 
平 要 以 一 个 不 同 的 、 不 相关 的 技术 来 解决 每 一 个 问题 。 在 下 一 章 中 ， 将 深入 探讨 DCE 的 安全 
机 制 。 
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基于 规则 的 授权 





客户 机 认证 


客户 机 -服务 器 认证 GSSAPI 
认证 外 部 单元 双 因 素 认 证 
扩展 注册 审计 

加 密 通信 单一 登录 


认证 DCE 服 务 DCE 安 全 吗 ? 





分 布 式 计 算 中 的 一 个 中 心 问题 是 如 何 使 用 一 个 “不 可 信 的 ”网 络 ? 当 密 码 以 明文 形式 在 
LAN 上 传输 时 ， 我 们 如 何 能 够 信任 安全 机 人 制 ? 当 分 布 式 授权 控制 依赖 于 容易 伪造 的 网 络 地 址 
时 ， 应 该 在 这 些 控制 上 施 以 什么 样 的 信任 ? 这 些 问题 的 答案 让 人 难以 置信 。 

DCE 的 认证 机 制 是 基于 Kerberos 认 证 模型 的 ， 该 模型 是 由 麻 省 理工 学 院 (MIT ) 在 20 址 纪 
80 年 代 后 期 开发 的 。Kerberos 的 名 字 非 常 古怪 ， 它 假定 网 络 是 不 可 信 的 。Kerberos 使 用 多 种 密 
钥 技 术 的 组 合 来 使 客户 机 和 服务 器 的 相互 认证 。 


Kerberos 又 称 Cerberus 是 长 着 三 个 脑袋 的 地 狼 守 门 狗 。Cerberus 使 用 它 的 尾巴 年 凤 
把 人 骗 近 地 狱 中 。Cerberus 是 可 以 击败 的 。 大 力 神 在 11 岁 时 战胜 了 Kerberos， 通 过 了 最 困 


难 的 考验 。 


在 本 章 中 ， 将 探讨 Kerberos 模 型 的 DCE 实 现 ( 它 是 一 个 增强 版 )， 并 介绍 其 他 的 DCE 案 全 
机 制 (例如 访问 控制 列表 )。 为 了 让 初学 者 明白 DCE 安 全 的 复杂 性 ,我 们 已 经 花 了 一 些 篇 幅 来 
讨论 DCE 安 全 性 。 我 们 不 可 能 详细 地 介绍 DCE 所 使 用 的 全 部 机 制 。 而 是 力图 提供 对 DCE 概 念 
的 一 个 好 的 概述 ， 并 帮助 读者 基本 掌握 DCE 安 全 的 工作 机 制 。 


17.1 DCE 认 证 


DCE 认 证 的 设计 宗旨 是 能 够 提供 下 面 这 些 假 设 下 的 安全 认证 : 
。 如 果 不 加 密 ， 网 络 包 会 受到 探查 。 会 探查 包含 明文 密码 的 包 ， 会 发 现 “ 保 密 的 密码 ”。 
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。 可 能 会 截获 和 分 析 包 含 认证 信息 的 包 ， 并 在 将 来 的 攻击 中 重 发 。 

。 网 络 地 址 不 可 信任 ( 这 包括 IP 地 址 和 网 卡 上 的 硬件 地 址 )。 

。 不 仅仅 需要 认证 客户 机 ， 也 需要 认证 服务 器 。 

DCE 认 证 处 理 把 包 加 密 、 基 于 时 间 的 认证 凭证 和 一 个 “可 信 第 三 方 ” 结 合 起 来 使 用 以 提 
供 安 全 认证 。 通 过 把 授权 和 Kerberos 中 没有 的 其 他 安全 控制 结合 进来 ，DCE 增 强 了 Kerberos 认 
证 模型 。 在 DCE 术 语 中 ， 参 与 者 指 的 是 其 标识 可 证 明 的 任何 东西 或 者 任何 人 。 参 与 者 可 以 是 
个 用 户 、 应 用 程序 、 计 算 机 、DCE 服 务 或 者 DCE 单 元 。 一 个 认证 凭证 是 一 人 
果 提 供 了 的 话 ， 它 可 以 证 明 参 与 者 的 标识 。 当 发 送 到 网 络 上 时 ， 密 码 和 对 话 密 钥 是 加 密 过 的 ， 
但 真正 的 包 信息 并 不 会 加 密 。 对 话 (或 者 会 话 ) 密 钥 是 由 系统 生成 的 随机 数 ， 它 用 来 保护 参 
与 双方 的 通信 。 通 过 认证 以 后 ， 用 户 和 服务 器 就 会 被 给 与 时 间 有 关 的 凭证 ， 这 些 凭 证 可 以 抵 
抗 重 发 攻击 。DCE 安 全 是 基于 Kerberos 模 型 的 ， 但 是 通过 支持 另外 的 安全 属性 而 扩展 了 该 模 
型 。 这 人 允许 服务 提供 者 不 仅 可 以 检查 客户 的 标识 ,而且 还 可 以 根据 其 他 属性 来 授权 访问 。 这 
些 附 加 的 属性 包括 了 组 标识 和 其 他 任意 的 属性 。 可 信 第 三 方 一 一 DCE 安 全 服务 一 一 用 来 进行 
客户 机 和 服务 器 的 相互 认证 。DCE 安 全 服务 的 每 个 用 户 ， 不 管 是 人 、 计 算 机 还 是 应 用 程序 ， 
都 称 做 参与 者 。 


可 以 把 DCE 使 用 的 相互 认证 解释 为 “第 一 天 见面 "。 假 设 有 两 个 人 都 对 对 方 有 兴趣 ， 
但 是 这 两 个 人 都 有 点 害 差 ， 那 么 他 们 可 以 找 一 个 共同 的 朋友 来 一 起 玩 一 下 。 虽 然 他 们 二 
人 都 对 对 方 有 点 了 解 ， 但 是 让 一 个 共同 的 朋友 来 开场 介绍 是 最 好 不 过 了 。 看 电影 或 者 吃 
晚饭 都 是 很 好 的 选择 。 如 果 一 切 进展 顺利 ， 那么 这 个 共同 的 朋友 就 可 以 走 开 了 ， 然 后 这 
两 个 新 朋友 就 可 以 私下 里 联系 了 。 


DCE 安 全 服务 有 三 个 组 件 服务 ， 认 证 、 特 权 和 注册 服务 。 认 证 服务 的 任务 是 在 开始 的 时 
候 验 证 参与 者 的 标识 。 如 果 用 户 提供 了 一 个 有 效 密码 ， 那 么 认证 服务 会 为 用 户 提 供 证 明 授予 
证 明 ( Ticket Granting Ticket，TGT ) 证 书 。TGT 使 得 用 户 可 以 向 应 用 服务 器 的 证 明 提出 附加 
请 求 。 特 权 服务 为 附加 凭证 中 的 参与 者 封装 了 附加 的 安全 属性 ( 特权 )， 该 附加 证 书 称 做 扩展 
特权 属性 证 书 (Extended Privilege Attribute Certificate，EPAC )。 应 用 程序 可 以 检查 客户 机 提 
供 的 EPAC， 并 且 根 据 其 内 容 来 决定 是 否 授予 客户 机 访问 权 。 注 册 服务 是 关于 DCE 单 元 中 的 参 
与 者 、 组 和 账号 的 信息 的 一 个 存储 仓库 。 它 也 包含 了 用 于 DCE 单 元 的 安全 策略 。 图 17-1 说 明 
了 DCE 安 全 处 理 的 组 织 。 

DCE 安 全 服务 为 整个 DCE 单 元 维护 了 用 户 、 服务 器 以 及 安全 策略 的 数据 库 。 安 全 数据 及 
其 相关 接口 的 集合 称 做 注册 服务 。 一 个 从 用 户 的 保密 密码 中 生成 的 密 钥 用 来 标识 用 户 ， 并 且 
由 注册 服务 来 维护 。 任 何 DCE 应 用 程序 ， 不 管 其 在 DCE 单 元 中 的 位 置 如 何 ， 都 可 以 对 客户 机 
的 凭证 进行 认证 。 


17.1.1 客户 机 认证 


客户 机 使 用 DCE 工 具 (通常 是 dce_login ) 或 者 执行 DCE 登 录 的 操作 系统 登录 工具 来 获得 
DCE 赁 证。 登录 程序 通过 联系 单元 目录 服务 (Cell Diretory Service， CDS ) 来 确定 可 用 的 安 
全 服务 器 的 位 置 。DCE 的 早期 版 本 使 用 了 一 一 个 (相对 ) 很 简单 的 密 钥 交换 机 制 来 认证 用 户 。 
在 OSF RFC 26.0 中 ， 惠 普 公 司 的 Joe, Pato 讨 论 了 很 多 关于 使 用 密码 猜测 技术 来 攻击 Kerberos 模 
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型 的 问题 。 问 题 在 于 Kerberos 和 DCE 凭 证 都 可 以 在 LAN 上 截获 ， 或 者 被 窃取 以 进行 密码 破解 。 
Pato 给 出 了 一 些 建 议 技 术 ， 这 些 技术 可 以 避免 在 LAN 上 发 送 使 用 用 户 的 私有 密 钥 加 密 的 信息 。 


一 种 称 做 第 三 方 预 认证 的 技术 引入 了 一 个 存储 在 客户 机 上 的 新 会 话 密 钥 。 这 种 方法 可 以 防止 
攻击 者 从 加 密 过 的 凭证 中 猜测 出 用 户 密码 。 第 三 方 预 认 证 技术 已 经 纳入 OSF/DCE 1.1 版 中 。 


认证 服务 校 验 初 
认证 服务 | 始 登 录 并 准备 用 
户 的 TGT 和 凭证 

特权 服务 根据 

注册 EPAC 的 内 容 来 决 
定 受 否 进行 授权 
注册 服务 维护 了 参 
特权 服务 与 者 、 账 号 以 及 策 
略 信息 ， 其 中 包括 


参与 者 的 私有 密 钥 




















客户 机 


图 17-1 OSF/DCE 安 全 概览 


客户 机 联系 本 地 机 器 上 的 DCE 安 全 服务 ( 实际 上 它 是 本 地 DCE 安 全 库 )。 本 地 机 器 有 自己 
的 TGT ( 称 做 机 器 TGT ) 和 会 话 密 钥 ， 它 们 是 在 DCE 安 全 服务 初始 化 时 获得 的 。 用 户 并 不 会 
直接 得 到 TGT， 而 是 由 本 地 安全 服务 代表 用 户 获得 TGT。 因 为 本 地 安全 服务 和 安全 服务 器 共 
享 公共 密 钥 ， 所 以 用 户 的 密码 可 以 转化 成 一 个 私有 密 钥 。 用 户 密码 不 会 传输 到 安全 服务 器 ， 
而 从 密码 中 创建 的 安全 密 钥 会 交换 。 本 地 安全 服务 也 会 生成 对 话 密 钥 。 这 些 密 钥 会 随同 TGT 
_ .起 转发 到 DCE 安 全 服务 ， 并 且 会 使 用 用 户 的 私有 密 钥 进行 加 密 。 整 个 包 受到 多 级 加 密 的 保 
护 。 采 用 这 种 设计 ， 流量 受到 了 保护 从 而 免 遭 密码 探查 或 者 重 发 攻击 。 

图 17-2 概 括 说 明了 DCE 认 证 过 程 的 初始 阶段 。 

安全 服务 器 使 用 机 器 保密 密 钥 ( 它 知道 ) 来 得 到 附加 对 话 密 钥 并 解密 包 。 如 果 时 间 惟 是 
在 可 接受 的 范围 之 内 ， 安 全 服务 器 将 为 客户 机 创建 TGT。 该 TGT 包 含 了 客户 机 的 基本 信息 ， 
并 使 用 一 个 只 有 安全 服务 器 才 知道 的 密 钥 密封 起 来 ( 例如 加 密 )。 安 全 服务 器 也 会 创建 一 个 
客户 机 对 话 密 钥 ， 客 户 机 将 使 用 该 密 钥 同安 全 服务 器 进行 后 面 的 对 话 。 密 封 的 TGT 和 客户 机 
对 话 密 钥 都 置 于 一 个 包 中 ， 接 着 使 用 该 包 一 个 从 本 地 安全 服务 处 得 到 的 对 话 密 钥 进行 加 密 。 
然后 该 包 (包括 了 密封 的 客户 机 TGT 和 对 话 密 钥 ) 返回 到 本 地 机 器 。 本 地 机 器 接收 加 密 过 的 
包 ， 使 用 它 提供 的 对 话 密 钥 来 解密 该 包 ， 并 存储 客户 机 的 TGT 和 对 话 密 钥 。 这 种 方法 有 如 下 
优点 : 

。 只 有 本 地 安全 服务 才能 开启 客户 机 的 TGT 和 对 话 密 钥 ， 这 是 因为 它们 是 使 用 最 初 由 本 地 

安全 服务 提供 的 一 个 对 话 密 钥 来 加 密 的 。 

只 有 一 个 有 效 的 安全 服务 才能 提供 TGT 包 ， 这 是 因为 包 是 由 本 地 机 器 的 会 话 密 钥 〈《 从 安 
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全 服务 处 得 到 ) 加 密 的 。 客 户 机 和 安全 服务 器 因而 互相 保证 了 对 方 的 标识 。 
“用 户 的 密码 和 密 钥 只 需要 在 内 存 中 保持 很 短 的 时 间 。 这 样 能 够 防止 攻击 者 使 用 内 存 探测 
技术 来 探查 客户 机 系统 上 的 密码 或 者 密 钥 。 






加 密 过 的 包 


客户 机 TGT 和 
客户 机 对 话 密 钥 : 
| 


6 


客户 机 为 本 地 DCE 服 务 提 《FF 一 一 一 一 一 一 一 安全 服务 器 创建 客户 机 















供用 户 ID 和 密码 。 从 密码 TGT 和 对 话 密 铜 。 加 密 包 
中 创建 用 户 私 有 密 钥 并 返回 到 本 地 安全 服务 
加 密 过 的 包 
一 个 包含 机 器 TGT、 机 器 用 户 和 有 器 硼 安全 服务 器 使 用 机 器 会 话 
会 话 密 钥 、 附 加 对 话 密 铀 器 会 话 密 负 。 密 钥 来 得 到 附加 对 话 密 铀 
和 时 间 愉 的 包 发 送 到 DCE 里 启 提 并 解密 包 

安 全 服 务 em 


图 17-2 对 客户 机 的 初始 认证 阶段 


TGT 的 生命 期 是 有 限 的 ， 安 全 管理 员 可 以 对 其 进行 配置 ， 其 默认 值 是 10 个 小 时 。 10 个 小 时 
过 后 ， 客 户 机 必须 要 通过 重新 启动 登录 程序 来 获得 一 套 新 的 凭证 。PTGT 通 常 限制 在 2 个 小 时 
之 内 。 大 多 数 客户 机 可 以 通过 在 10 个 小 时 以 后 重新 登录 来 更 新 其 基础 凭证 ,但 是 还 有 一 些 其 
他 方法 可 以 让 客户 机 自动 更 新 其 凭证 。 当 客户 机 递交 批 任务 的 时 候 , 这 种 技术 是 特别 有 用 的 。 

应 用 程序 和 机 器 服务 证 明 ( 同 客户 机 的 TGT 相 对 ) 是 自动 更 新 的 ， 这 不 需要 任何 人 工 干 
预 。 使 用 很 多 对 话 密 钥 可 能 看 似 过 于 复杂 ， 但 是 这 种 做 法 确实 有 一 些 优点 : 

。 相对 来 说 ， 对 话 密 钥 和 和 凭证 的 存在 时 间 是 很 短 的 。 如 果 黑 客 要 发 现 密 钥 ， 那 么 他 必须 要 

在 很 短 的 时 间 内 完成 。 

。 攻 击 者 必须 要 发 现 多 个 密 钥 。 

应 该 指出 ， 密 钥 和 和 凭证 认证 的 复杂 性 是 由 DCE 运 行 时 层 而 不 是 应 用 程序 员 来 处 理 的 。 

客户 机 下 一 步 要 得 到 附加 凭证 一 一 扩展 特权 属性 证 书 (Extended Privilege Attribute 
Certificate，EPAC )。EPAC 包 含 了 更 多 的 客户 机 信息 ， 例 如 组 成 员 和 地 点 、 客 户 机 的 特殊 安 
全 属性 。EPAC 是 对 原始 的 DPCE 特 权 属 性 证 书 ( Privilege Attribute Certificate ，PAC ) 的 一 个 
改进 。 在 分 布 式 环境 中 ， 一 个 服务 器 代表 一 个 客户 机 向 第 二 个 服务 器 提出 请 求 是 很 常见 的 。 
然而 ， 如 果 要 这 么 做 ， 那 么 必须 要 解决 一 个 基本 问题 ， 第 二 个 服务 器 如 何 能 够 识别 出 来 自 第 
一 个 服务 器 的 请 求 是 代表 一 个 客户 机 的 ? 惠普 Chelmsford 实 验 室 的 Joe Pato 为 OSF RFC 3.0 中 
的 实用 扩展 委托 提供 了 一 个 建议 模型 。 该 提议 方案 把 服务 器 的 特权 属性 证 书 扩展 为 结合 客户 
机 凭证 。 当 前 的 ACL 模 型 也 重新 设计 成 检查 扩展 的 PAC。OSF/DCE 在 DCE 1.1 版 中 引入 了 
EPAC。 


ee 
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客户 机 首先 把 一 个 PTGT 请 求 转 发 到 特权 服务 。 特 权证 明 授 予 证 明 ( Privileged Ticket 
Granting Ticket，PTGT ) 允许 客户 机 从 特权 服务 处 请 求 特权 服务 证 明 。 获 得 初始 PTGT 和 
EPAC 的 过 程 同 初始 认证 请 求 类 似 ， 其 原因 在 于 对 话 是 通过 客户 机 TGT 和 会 话 密 钥 的 一 次 交换 
来 保护 的 。 

客户 机 并 不 直接 同 服务 通信 ， 而 是 通过 中 间 者 来 获得 必要 的 赁 证。 关于 整个 过 程 的 详细 
说 明 ， 读 者 可 以 参考 发 表 在 惠普 期 刊 上 的 《DCE Seurity Service》 一 文 ([Gittler && 
Hopins,1995] )。 


17.1.2 客户 机 到 服务 器 认证 


当 一 个 客户 机 希望 联系 一 个 服务 器 时 ， 该 客户 机 会 在 单元 目录 服务 中 查询 该 服务 器 。 服 
务 器 和 客户 机 之 间 的 相互 认证 是 使 用 一 套 新 的 对 话 密 钥 来 完成 的 。 在 深入 探讨 之 前 ， 先 介绍 
三 个 重要 概念 。 

首先 ， 应 用 程序 服务 器 根本 不 需要 执行 认证 过 的 RPC。 确 定 合适 级 别 的 认证 和 所 需 安全 
是 应 用 程序 设计 者 的 任务 。 第 二 ， 服 务 器 实施 一 套 最 小 标准 ， 但 是 客户 机 可 以 请 求 使 用 更 强 
大 的 安全 机 制 。 只 有 在 客户 机 不 符合 最 小 标准 的 时 候 ， 服 务 器 才 拒绝 客户 机 。 本 质 上 ， 客 户 
机 可 以 同 服务 器 自由 协商 一 个 更 高 的 标准 。 第 三 ， 不 符合 最 小 标准 的 客户 机 不 会 自动 拒绝 。 
应 用 程序 服务 器 必须 要 明确 检查 客户 机 的 请 求 ， 如 果 请 求 不 符合 最 小 标准 ， 则 拒绝 该 请 求 。 
客户 机 必须 要 预先 知道 服务 器 的 最 小 需求 ， 这 是 因为 这 些 需求 是 不 能 直接 从 服务 器 上 得 到 的 。 

客户 机 请 求 起 始 于 对 所 需 安全 级 别 的 声明 。 请 求 提 交 到 认证 服务 处 以 获得 一 个 对 所 需 应 
用 程序 的 证 明 。 原 始 EPAC 转 发 到 安全 服务 处 ， 并 且 使 用 应 用 程序 的 保密 密 钥 来 重新 加 密 。 这 
样 能 向 应 用 程序 服务 器 证 明 客户 机 的 EPAC 是 有 效 的 。 该 过 程 是 通过 交换 对 话 密 钥 来 保护 的 。 
设计 者 尽 可 能 地 把 复杂 性 向 应 用 程序 员 和 用 户 隐 藏 起 来 。 应 用 程序 证 明 通 常 受到 TGT 和 PTGT 
已 有 生命 期 的 限制 。 


OSF/DCE 认 证 和 国际 旅行 控制 之 间 有 很 多 相似 之 处 。TGT 和 EPAC 类 似 于 护照 。 它 们 
都 有 一 个 有 效 期 限制 ， 并 且 都 使 用 了 难以 伪造 的 技术 〔 纸张 、 邮 票 和 封印 )。 服务 器 可 以 
比 做 国家 。 有 些 国 家 允许 无 护照 入 境 ( 例如 加 拿 大 人 到 美国 旅行 式 者 在 EEC〈 欧洲 经 济 共 
同体 ) 成 员 国 之 间 旅 行 )。 大 多 数 国家 都 要 求 入 境 旅游 者 持 有 效 护腿 。 另 外 ， 有 的 国家 可 
能 需要 签证 。 答 证 的 有 效 期 要 比 护照 的 更 短 ， 通常 护照 过 期 它 就 会 过 期 。 可 以 同 签证 类 
比 的 是 应 用 程序 证 明 一 一 应 用 程序 服务 器 可 能 需要 它 作 为 另外 的 证 明 。 













17.1.3 认证 外 部 单元 


如 果 用 户 从 一 个 外 部 单元 (如 一 个 具有 不 同安 全 服务 的 单元 ) 到 达 的 话 ， 那 会 如 何 呢 ? 
应 该 使 用 本 地 安全 服务 对 用 户 进行 认证 吗 ? 或 者 就 因为 坏人 不 能 操作 DCE 单 元 而 在 表面 价值 
上 接受 凭证 吗 ? 通过 把 用 户 指定 为 经 过 认证 的 而 不 是 来 自 外 部 的 ，DCE 人 允许 进行 调用 。 至 于 
如 何 对 待 外 部 用 户 ， 这 是 由 应 用 程序 来 决定 的 。 

惠普 的 Joe Pato 在 OSF RFC 7.0 中 建议 了 一 个 交叉 单元 认证 模型 。 该 模型 允许 单元 管理 员 
来 次 定 哪 些 外 部 单元 是 可 信 的 哪些 是 不 可 信 的 。 从 组 织 内 部 的 单元 中 生成 的 证 明 对 于 一 个 单 
元 来 说 是 可 信 的 ， 但 对 其 他 单元 来 说 不 一 定 。 这 些 建 议 已 经 结合 到 OSF/DCE 1.1 版 中 。 


te me 
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17.1.4 扩展 注册 


DCE 是 偏离 UNIX 的 ， 这 是 它 的 一 个 争议 之 处 。 在 OSF RFC 6.0 中 ，Joe Pato 建 议 了 一 个 更 
灵活 的 注册 服务 设计 方案 。 该 方案 允许 使 用 动态 属性 ， 这 些 属性 对 于 很 多 的 操作 系统 和 应 用 
程序 来 说 都 是 合适 的 。 该 RFC 中 的 思想 已 经 结合 到 扩展 注册 属性 ( Extended Registry Attribute， 
ERA ) 功能 中 。ERA 功 能 允许 新 属性 的 引入 。 这 使 得 DCE 对 于 非 UNIX 环 境 来 说 非常 有 吸引 力 ， 
并 且 提 高 了 DCE 的 可 接受 程度 。 


17.1.5 服务 器 认证 


在 对 客户 机 认证 机 制 的 讨论 中 ， 我 们 隐 含 地 假定 应 用 服务 器 已 经 认证 了 。 客 户 机 和 安全 
服务 之 间 所 进行 的 相互 认证 也 要 在 应 用 服务 器 和 安全 服务 之 间 进 行 。 后 面 双方 的 认证 同 客户 
机 到 安全 服务 的 认证 方法 相同 ， 但 是 有 几 个 重要 的 例外 情况 。 应 用 服务 器 一 般 是 长 时 间 运 行 
的 ， 因 此 它们 不 能 每 隔 八 个 小 时 就 重新 初始 化 登录 过 程 。 在 到 期 时 间 之 前 ,服务 器 使 用 替代 
方法 来 更 新 其 凭证 和 对 话 密 钠 。 应 用 程序 不 能 等 系统 管理 员 在 启动 时 把 一 个 密码 作为 密 钥 。 
服务 器 的 保密 密 钥 密码 可 以 保存 在 多 个 地 方 ， 但 一 般 是 以 加 密 格式 保存 在 keytab 文 件 中 。 该 
keytab 文 件 是 由 本 地 文件 系统 资源 保护 的 。 


17.1.6 加 密 客户 机 -服务 器 通信 
DCE 支 持 多 种 加 密级 别 以 保护 客户 机 和 服务 器 之 间 的 通信 。 前 面 已 经 提 到 过 ， 客 户 机 可 
以 同 服务 器 协商 一 个 需要 的 保护 级 别 ， 只 要 该 级 别 符合 或 者 超过 服务 器 实施 的 级 别 即 可 。 表 
17-1 列 出 了 可 用 的 保护 级 别 。 
表 17-1 对 客户 机 -服务 器 通信 的 保护 


-一 


保护 类 型 说 明 

默认 使 用 DCE 单 元 的 默认 级 别 

无 不 使 用 任何 保护 ， 从 而 也 不 需要 Kerberos 认 证 

连接 客户 机 和 服务 器 的 标识 是 在 初始 连接 时 认证 的 

调用 使 用 一 个 对 话 密 钥 来 加 密 每 一 个 RPC 调 用 。 独 立 数 据 包 不 加 密 
包 每 个 数据 包 都 附加 一 个 加 密 过 的 字段 

包 完 整 性 独立 包 有 一 个 加 密 过 的 校 验 和 以 防 筹 改 

完全 加 密 ”客户 机 和 服务 器 之 间 的 所 有 通信 都 完全 加 密 


即使 对 于 最 不 安全 的 应 用 ， 最 小 保护 级 别 也 是 调用 级 保护 。 更 低级 的 保护 容易 受到 包 复 
改 攻击 。 大 多 数 在 平安 全 性 的 应 用 程序 都 是 使 用 包 完整 性 级 或 者 完全 加 密级 保护 。 完 全 加 密 
受到 了 美国 国防 部 的 加 密 技术 出 口 限制 (关于 这 方面 的 详细 信息 ， 请 参考 第 15 章 “密码 学 ” )。 
应 该 指出 ， 完 全 加 密 选项 只 加 密 LAN 上 包 的 数据 部 分 。 包 括 源 地 址 和 目的 地 址 在 内 的 TCP/IP 
地 址 和 传送 信息 都 不 加 密 ， 可 以 使 用 包 探测 技术 来 查看 这 些 内 容 。 然 而 ， 真 正 的 数据 是 加 密 
过 的 ， 因 而 是 不 可 理解 的 。 一 旦 确定 了 通信 保护 级 别 以 后 会话 密 钥 的 交换 、 数 据 的 加 密 和 
解密 就 都 由 DCE 来 处 理 ， 这 对 于 客户 机 和 服务 器 来 说 是 透明 的 。 


17.1.7 认证 DCE 服 务 
DCE 的 一 个 重要 特性 是 独立 DCE 服 务 ， 如 定时 服务 和 单元 目录 服务 ， 也 是 由 安全 服务 来 
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认证 的 。 这 使 得 攻击 者 很 难 假冒 任何 DCE 服 务 提供 者 。 


然而 ， 向 DCE 单 元 提供 服务 的 非 DCE 应 用 程序 是 被 取笑 的 对 象 。 我们 曾经 听 说 过 这 
么 一 种 情况 ， 一 个 使 用 了 因特网 NTP 时 间 服 务 的 DCE 单 元 遭 到 了 攻击 ， 攻 击 者 把 时 间 设 置 


成 下 个 世纪 ， 从 而 使 得 当前 所 有 凭证 全 都 失效 ! 





17.2 授权 


DCE 使 用 访问 控制 列表 机 制 来 对 单元 内 资源 的 使 用 情况 进行 授权 。ACL 的 使 用 是 非常 灵 
活 的 一 一 事实 上 ， 它 们 是 相对 无 组 织 的 并 且 由 独立 应 用 程序 来 实现 。 ACL 可 以 用 来 限制 对 文 
件 、 昌 录 、 硬 件 设 备 甚至 应 用 程序 服务 器 本 身 的 访问 。 

在 DCE 的 早期 版 本 中 ， 应 用 程序 开发 人 员 需 要 定义 、 管 理 和 实施 ACL。 独 立 ACL 一 般 保 
存在 平面 文件 中 ， 由 服务 器 上 的 本 地 文件 系统 来 保护 。 但 实际 上 应 该 由 独立 应 用 程序 来 决定 
把 ACL 保 存在 什么 地 方 以 及 如 何 使 用 它们 。DCE 1.1 版 提供 了 管理 ACL 的 编程 库 和 工具 。 

ACL 是 周 访问 权限 一 起 建立 的 。 定 义 自己 的 访问 权限 是 独立 应 用 程序 的 任务 ， 表 17-2 列 
出 了 一 些 访 问 权限 示例 。 

表 17-2 典型 的 ACL 访 问 权 限 


-人 


访问 权限 说 明 

Read 客户 机 可 以 打开 和 检查 资源 的 内 容 ， 但 不 允许 修改 内 容 
Write 客户 机 可 以 修改 资源 

Control 客户 机 可 以 控制 资源 

Insert 客户 机 可 以 创建 新 资源 ， 例 如 新 文件 或 目 录 

Delete 客户 机 可 以 删除 已 经 存在 的 资源 


可 以 通过 把 客户 机 的 分 类 (例如 “任何 其 他 ”) 和 一 一 个 适当 的 访问 特权 (例如 “无 ”) 
合 起 来 以 创建 一 个 ACL。ACL 可 以 应 用 到 独立 用 户 上 ， 但 是 一 一 般 都 是 应 用 到 一 类 或 者 一 
户 上 。 定 义 分 类 是 由 应 用 程序 所 控制 的 ， 表 17- 3 列 出 了 一 些 典 型 的 客户 机 分 类 。 
表 17-3 ”典型 的 ACL 客 户 机 分 类 


0 


拥有 者 分 类 说 明 

拥有 者 客户 机 当前 是 资源 的 拥有 者 。 只 有 一 个 拥有 者 

特殊 用 户 客户 机 通过 认证 ， 并 被 特殊 标识 

外 部 用 户 客户 机 被 特殊 标识 ， 但 它 是 外 部 DCE 单 元 中 的 成 员 

组 客户 机 是 资源 所 属 组 中 的 成 员 

特殊 组 客户 机 是 特殊 组 中 的 成 员 。 可 能 有 多 个 标识 的 组 

其 他 客户 机 是 本 地 DCE 单 元 中 的 认证 用 户 ， 但 不 属于 上 面 各 种 情况 
外 部 其 他 客户 机 已 经 在 另 一 个 单元 中 通过 认证 

任何 其 他 除 上 面 各 种 情况 之 外 的 分 类 


17.2.1 基于 规则 的 授权 


当前 ACL 的 管理 是 非常 繁重 的 ， 这 是 它 的 一 个 问题 。 从 前 面 可 知 ， 管理 ACL 是 开发 人 员 
的 职责 。 当 你 希望 结合 使 用 ACL 的 时 候 ， 管 理 问 题 会 变 成 一 个 大 麻烦 。 我 们 可 能 想 建立 一 些 
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有 关 ACL 如 何 工作 的 规则 ， 而 不 仅仅 是 简单 的 文件 访问 列表 。 例 如 ， 如 果 你 是 一 个 信用 部 经 
理 ， 那么 也 许 能 够 批准 最 大 500 000 美 元 的 客户 贷款 。 希 望 的 是 ， 基 于 规则 授权 的 管理 工具 会 
在 不 远 的 将 来 可 用 于 DCE 环 境 。 1 


17.2.2 GSSAPI 


如 果 我 有 一 个 客户 ， 全 套 PCE 都 不 适合 于 他 ， 但 我 又 希望 该 客户 能 够 以 一 个 安全 的 方式 
来 使 用 DCE 应 用 程序 ， 那 么 在 这 种 情况 下 应 该 怎么 办 呢 ? 这 种 情况 暗含 着 如 下 意思 ， 这 些 客 
户 机 必须 能 够 把 它们 自己 认证 到 DCE 安 全 服务 上 ， 并 获得 安全 凭证 。 对 于 该 问题 ， 解 决 方案 
便 是 被 提议 的 通用 安全 服务 应 用 编程 接口 (Generic Security Service Application Programming 
Interface，GSSAPI)。GSSAPI 不 是 一 个 绝对 的 安全 解决 方案 ， 它 人 允许 客户 机 或 者 服务 器 使 用 
一 个 公共 的 (或 者 通用 的 ) 方法 来 请 求 安全 服务 。GSSAPI 位 于 客户 机 和 安全 机 制 之 间 ， 它 允 
许 应 用 程序 员 为 认证 和 授权 请 求 进行 编程 而 无 需 考虑 所 使 用 的 安全 机 制 。GSSAPI 所 受到 的 支 
持 正 在 逐渐 增加 ， 并 且 我 们 也 已 经 看 到 了 它 在 很 多 安全 应 用 和 产品 中 的 使 用 。 例 如 ，GSSAPI 
对 OSF/DCE 和 Kerberos V 安 全 机 制 都 支持 。 

对 使 用 GSSAPI 的 讨论 最 初 是 由 数字 设备 公司 (DEC ) 的 J.Linn 在 他 于 1992 年 提交 到 OSF 
DEC 特殊 因特网 组 织 ( Specical Internet Group，SIG ) 的 OSF RFC 5.0 中 提出 的 。 然 后 这 项 研 
究 随 着 RFC1508 和 1509 的 提出 而 迅速 扩大 。RFC 提 议 ， 非 DCE 客 户 应 该 被 给 于 一 套 允 许 客户 
认证 的 接口 一 一 使 用 DCE 共 享 的 保密 密 铀 (或 者 其 他 ) 机 制 。 它 也 应 该 能 够 保护 消息 的 机 窗 
性 一 一 使 用 机 密 和 校 验 和 。 

从 DCE 的 角度 来 看 ，GSSAPI 的 重要 性 在 于 它 可 以 把 DCE 的 强大 安全 能 力 扩展 到 非 DCE 世 
界 。 可 以 期 待 的 是 ，GSSAPI 的 使 用 会 极 大 的 提高 Kerberos 和 DCE 的 使 用 。OSF DCE 1.1 发 布 
版 支持 GSSAPI 的 使 用 。 | 


17.2.3 双 因 素 认 证 和 智能 卡 


在 RFC 59.0 中 ， 安 全 动态 ( Security Dynamics ) 的 J.Kotanchik 建 议 Kerberos V 实 现 应 该 扩 
展 成 包括 双 因 素 认 证 。 双 因素 认证 是 基于 两 套 证 明 的 ， 例如 你 所 知道 的 某 样 东 西 〈 如 一 个 密 
码 )、 你 所 拥有 的 某 样 东西 ( 如 一 个 认证 设备 ) 或 者 你 是 某 样 东西 (生物 统计 学 数据 )。 
Kotanchik 描 述 了 一 种 可 能 的 DCE 安 全 实现 ， 即 把 用 户 提供 的 密码 和 由 手持 设备 生成 的 一 个 伪 
随机 数 (Pseudo Random Number，PRN ) 结合 起 来 。 

两 个 澳大利亚 研究 人 员 ，DSTC 的 Gary Gaskell 和 Telstra 的 Michael Warner 制 定 了 OSF RFC 
71.0， 该 RFC 发 布 于 1995 年 2 月 。 该 RFC 说 明了 如 何 结合 智能 卡 技术 的 使 用 来 保护 DCE 安 全 和 
执行 加 密 功 能 。 


17.2.4 审计 


早期 版 本 的 DCE 没 有 在 单元 、 应 用 程序 或 者 服务 器 的 基础 上 定义 一 个 审计 跟踪 。 审 计 标 
准 和 审计 跟踪 的 组 成 留 给 了 应 用 程序 设计 人 员 去 解决 。 VDG 公 司 的 Shyh-Wei 和 要 M 加 拿 大 实 
验 室 的 Robert Weisz 已 经 提议 了 一 个 标准 审计 跟踪 机 制 。 在 REFC 28.1 和 29.1 中 ， 他 们 建议 应 该 
定义 一 个 符合 C2 安 全 需求 的 公共 审计 API 和 审计 跟踪 。 提议 的 审计 跟踪 允许 事件 还 辑 分 组 到 
事件 分 类 中 。 它 也 允许 DCE 管 理 员 有 选择 地 增加 对 独立 单一 事件 或 者 一 类 事件 的 审计 。 DCE 


a 
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1.1! 版 提供 了 对 审计 库 和 审计 日 志 的 支持 ， 并 增添 了 审计 管理 能 力 。 
17.2.5 单一 登录 


单一 登录 概念 是 如 果 一 个 用 户 登 录 到 一 个 网 络 上 ， 那 么 所 有 其 他 连 网 系统 和 应 用 都 接受 
这 次 登录 。 这 样 做 的 好 处 在 于 ， 用 户 只 需要 记 住 一 个 用 户 ID 和 密码 以 进行 网 络 访问 。 因 为 
OSF/DCE 支 持 大 量 不 同 的 硬件 平台 和 操作 系统 ， 所 以 它 是 构建 单一 登录 解决 方案 的 合理 候选 
者 。 扩 展 属 性 的 使 用 ， 以 及 对 扩展 用 户 注册 的 支持 ， 使 得 结合 单一 登录 更 为 容易 。 


17.3 DCE 安 全 凤 


我 们 曾 昌 睹 过 很 多 客户 这 么 说 ， “如 果实 现 了 Kerberos 和 DCE， 那 我 们 就 再 也 不 必 担 心安 
全 问题 了 ”1! 这 种 看 法 是 不 正确 的 。 首 先 ， 安 全 性 不 是 光 牵 扯 到 技术 这 一 方面 。 如 果 不 分 析 
整体 情况 一 策略 、 程 序 、 培 训 以 及 意识 ， 那 么 不 可 能 真正 解决 问题 。 在 一 个 安全 环境 中 ， 
策略 、 程 序 、 培 训 以 及 意识 都 是 同等 重要 的 因素 。 仅 仅 实现 技术 是 不 能 解决 计算 机 安全 问题 
的 。 也 就 是 说 ，DCE 的 安全 措施 需要 同 许多 关键 方面 配合 起 来 才能 实现 分 布 环境 中 的 安全 性 。 
但 DCE 是 一 个 安全 解决 方案 吗 ? 答案 为 不 是 ! 

DCE 有 很 多 脆弱 点 ， 它 需要 依靠 客户 机 的 操作 系统 来 保护 用 户 任 证。 如 果 这 些 任 证 被 窃 
取 ， 那 么 就 有 可 能 造 出 伪造 的 请 求 。 同 样 ，DCE 信 任 服 务 器 上 的 本 地 文件 系统 控制 对 服务 器 
保密 密码 的 保护 。 如 果 本 地 系统 控制 具有 脆弱 点 ， 那 么 DCE 认 证 程序 就 有 可 能 被 替换 成 特 洛 
伊 森 马 程序 ， 从 而 造成 用 户 密码 的 窃 到。 还 有 ， 除 了 操作 系统 使 用 的 那些 控制 机 制 之 外 ， 
DCE 不 提供 任何 附加 的 文件 保护 机 制 。 它 并 不 为 系统 管理 员 或 者 用 户 提供 加 密 文 件 的 能 力 。 

只 不 过 因为 DCE 有 一 些 脆弱 性 ， 我 们 就 什么 也 不 用 做 了 吗 ? 绝对 不 可 以 ! 部 署 DCE 绝 对 
要 比 接受 现状 好 ! 它 可 能 不 是 一 个 银子 弹 , 但 它 绝对 要 比 军火 库 外 的 东西 强 。 

最 近 ， 很 多 有 助 于 解决 上 面 一 些 问题 的 产品 已 经 出 现 了 。 惠 普 公 司 已 经 宣布 了 0dyssey 产 
品 ， 它 能 够 安全 地 保存 DCE 任 证 。Odyssey 使 用 了 GemPlus 智 能 卡 ， 它 在 释放 纤 证 之 前 对 用 户 
进行 认证 。 如 果 卡 被 窃取 了 ， 那 么 DCBE 赁 证 还 会 受到 保护 ， 这 是 因为 用 户 必须 知道 卡 上 的 密 
码 才能 开启 它 。 


17.4 结论 


很 明显 ， 通 用 计算 群体 不 会 接受 现状 。 明 文 密码 在 LAN 上 的 暴露 、 对 安全 认证 客户 机 和 
服务 器 的 需求 以 及 通信 的 保护 都 会 使 情况 发 生变 化 。 并 且 ， 对 复杂 网 络 环境 中 的 元 余 性 、 目 
录 服 务 以 及 多 厂商 能 力 的 需要 还 会 继续 增 大 。 

DCE 在 今日 市 场 上 还 没有 任何 明显 的 基于 工业 标准 的 继任 者 或 者 替代 物 。 当 前 没有 任何 
技术 能 够 提供 DCE 所 能 提供 的 能 力 。 尽 管 我 们 不 能 预测 DCE 的 将 来 ， 但 是 对 这 种 技术 类 型 的 
需要 会 一 直 存在 。 我 们 不 能 再 把 信任 置 于 当前 的 中 间 件 技术 上 。 
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本 章 将 探讨 分 布 式 数据 库 解 决 方案 的 安全 性 问题 。 数 据 库 是 分 布 式 计算 的 防护 墙 ， 它 可 
以 保护 最 有 价值 的 个 人 资产 一 一 即使 入侵 者 已 经 能 够 进入 我 们 的 房间 。 数 据 库 在 安全 性 方面 
具有 几 个 重要 的 优点 ， 其 中 包括 强大 的 数据 访问 控制 和 审计 跟踪 。 

同 前 面 几 章 中 讨论 的 技术 一 样 ， 本 章 将 着 眼 于 影响 分 布 式 数据 库 的 安全 问题 、 分 布 式 数 
据 库 的 工作 机 制 以 及 其 中 的 一 些 关 键 技 术 。 本 章 并 不 把 重点 放 在 任何 特定 的 数据 库 实现 上 。 
相反 ， 我 们 将 对 三 大 分 布 式 数据 库 技 术 的 一 些 共性 进行 探讨 : Infomix、Oracle 和 Sybase。 在 
掌握 了 数据 库 环 境 以 后 ， 将 介绍 所 涉及 到 的 问题 的 解决 方案 。 


18.1 RDBMS 的 概念 


关系 数据 库 管理 系统 ( Relational Data Base Management System，RDBMS ) 是 基于 关系 
型 数据 库 模型 的 数据 存储 和 检索 系统 。 这 种 模型 使 用 表 作 为 其 基本 结构 。 表 是 查看 相关 信息 
的 一 种 逻辑 方式 。 例 如 ， 一 个 员工 表 可 能 包含 员工 号 码 、 姓 名 、 部 门 、 位 置 以 及 聘用 日 期 之 
类 的 信息 。 关 系 表 由 多 个 行 和 多 个 列 组 成 。 在 一 个 表 中 ， 数 据 被 组 织 到 垂直 列 和 相交 行 中 ， 
其 中 每 个 交点 处 只 有 一 个 数据 项 。 行 可 以 看 成 是 数据 记录 ， 列 是 记录 中 的 数据 项 。 例 如 在 一 
个 员工 表 中 ， 可 能 每 个 员工 对 应 一 行 ， 而 员工 号 码 、 姓 名 及 其 其 他 信息 各 对 应 一 列 。 关 于 数 
据 库 用 户 的 信息 ， 包 括 密 码 和 用 户 轮廓 ， 也 保存 在 表 中 。 

RDBMS 是 由 很 多 表 组 成 的 ， 它 们 之 间 互 相关 联 。 使 用 称 做 键 的 公共 数据 元 素 可 以 把 这 些 
表 链 接 起 来 。 为 了 快速 查询 键 ， 也 可 以 创建 索引 。 视 图 是 一 个 并 没有 物理 保存 的 逻辑 表 ， 它 
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允许 对 一 个 表 或 者 多 个 表 中 的 信息 的 子 集 进行 访问 。 例 如 ， 经 理 可 能 需要 限制 对 工资 表 的 访 

问 。 部 门 经 理 可 以 完全 访问 其 手下 员工 的 工资 信息 ， 但 不 能 查看 更 高 级 管理 人 员 的 薪水 。 经 

和 “视图 "， 这 些 依 息 可 能 分 布 在 同一 行 或 者 不 同行 中 的 列 的 许多 子 
上 。 

大 多 数 关系 型 数据 库 都 支持 一 个 用 于 执行 特别 查询 、 编 程 和 管理 的 共同 语言 。 美 国 国家 
标准 委员 会 (ANSI) 和 国际 标准 化 组 织 (ISO ) 制定 的 结构 化 查询 语言 (Structured Query 
Language，SQL ) 提供 了 一 套 可 供 所 有 标准 RDBMS 实 现 使 用 的 标准 数据 定义 和 数据 操作 语句 。 
一 个 SQL 数据 库 环境 实际 上 是 由 很 多 标准 组 成 的 ， 其 中 包括 在 编程 语言 中 使 用 SQL 语句 的 骨 
人 和 人 式 SQL (ESQL )。 应 该 指出 ， 用 于 从 客户 机 程序 中 调用 服务 器 的 应 用 编程 接口 (API) 的 标 
准 化 工作 也 已 开始 。 例 如 ，SQL 访 问 组 (SQL access group，SAG ) 提供 了 一 个 公共 API 定 义 ， 
大 多 数 RDBMS 厂 商都 已 经 采纳 该 定义 。 

交互 式 结构 化 查询 语言 ( Interactive Structured Query Language，ISQL ) 是 用 于 数据 
库 管理 和 特别 查询 的 一 个 工具 。 它 允许 用 户 直 接 访问 数据 。 使 用 标准 SQL 命 令 ， 用 户 可 以 
创建 定制 的 报告 并 执行 对 数据 库 的 一 次 查询 。 大 多 数 RDBMS 厂 商都 支持 标准 SQL 的 使 用 ， 
但 是 他 们 为 SQL 和 数据 库 环 境 添 加 了 一 些 扩展 以 提供 附加 功能 。 不 幸 的 是 ， 各 个 厂商 的 扩 
展 为 安全 问题 带 来 了 不 同 的 解决 方法 。 并 不 是 每 个 数据 库 实 现 都 提供 同一 级 别 的 整体 安全 
性 。 


18.2 启用 应 用 的 不 同 模型 


有 三 种 不 同 的 体系 结构 可 用 于 启用 RDBMS 应 用 ， 它 们 是 中 心服 务 器 、 受 限 客户 机 -服务 
器 和 完全 客户 机 -服务 器 。 在 传统 的 中 心服 务 器 模型 中 ， 数 据 和 应 用 程序 逻辑 都 存在 于 数据 库 
服务 器 中 。 本 地 工作 站 用 做 访问 应 用 的 智能 终端 。 所 有 的 程序 逻辑 都 在 服务 器 上 的 应 用 程序 
中 预定 义 和 执 行 。 应 用 数据 保存 在 服务 器 上 的 数据 库 中 。 在 受 限 客户 机 -服务 器 模型 中 ， 客 户 
机 工作 站 起 到 访问 RDBMS 的 智能 接口 的 作用 。 它 为 用 户 提供 了 一 个 复杂 的 图 形 用 户 界 面 ， 但 
是 几乎 全 部 的 应 用 数据 和 还 辑 都 存在 于 服务 器 上 。 在 完全 客户 机 -服务 器 模型 中 ， 数 据 和 应 用 
逻辑 存在 于 客户 机 和 服务 器 上 。 客 户 机 维护 了 数据 的 本 地 表 ， 并 且 有 能 力 向 数据 库 服务 器 提 
出 附加 数据 或 处 理 请 求 。 数 据 库 服务 器 也 可 以 反 过 来 成 为 一 个 客户 机 ， 在 这 种 情况 下 ， 它 代 
表 原 始 客户 机 向 其 他 数据 库 提出 请 求 。 

客户 机 通信 在 网 络 上 进行 ， 它 可 以 使 用 很 多 不 同 的 通信 方法 。 不 同 厂商 提供 的 产品 各 有 
不 同 的 方法 。 例 如 ，Oracle 使 用 SQL*NET 做 为 网 络 通信 基础 ， 而 Sybase 则 使 用 远程 过 程 调用 
机 人 制 。 

安全 控制 是 各 个 RDBMS 都 具有 的 功能 。 图 18-1 提 供 了 一 个 RDBMS 安 全 功能 概 图 。 

RDBMS 解 决 方案 ( 如 Oracle、Sybase 或 者 Informix ) 提供 了 很 多 安全 功能 ， 但 各 个 厂商 
所 提供 的 数据 库 解决 方案 却 各 有 其 独自 的 功能 。 这 包括 了 认证 用 户 和 把 用 户 分 派 到 组 结构 中 
的 能 力 。 在 其 用 户 ID 或 组 成 员 关 系 的 基础 上 ， 可 以 允许 或 者 拒绝 用 户 访问 表 、 视图 或 者 独立 
数据 元 素 。 用 户 动 作 的 审计 跟踪 是 各 个 RDBMS 解 决 方案 的 共同 特征 。 最 后 ， 存储 过 程 和 触发 
器 之 类 的 高 级 功能 也 是 可 用 的 。 我 们 将 在 后 面 探讨 每 个 安全 功能 。 但 是 ， 首先 来 看 一 下 操作 
系统 访问 和 数据 库 之 间 的 关系 。 
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图 18-1 典型 的 RDBMS 安 全 功能 概 图 


18.2.1 用 户 认 证 


同 操作 系统 一 样 ， 数 据 库 访问 的 认证 也 是 使 用 用 户 ID 和 密码 来 完成 的 。 尽 管 数据 库 可 以 
使 用 自己 惟一 的 用 户 ID 和 密码 ， 但 大 多 数 RDBMS 实 现 可 以 使 用 同 操作 系统 一 致 的 用 户 认证 信 
息 。 例 如 在 Oracle 7.0 中 ， 数据库 可 以 配置 成 禁止 那些 使 用 非 标 准 操作 系统 用 户 ID 的 用 户 访问 
数据 库 。 

尽管 在 LAN 上 以 明文 形式 传输 密码 一 直 是 标准 做 法 ， 但 是 RDBMS 厂 商都 在 着 手 解决 该 问 
题 。 例 如 ，Sybase 和 Oracle 都 有 能 力 实现 一 次 密码 ( 例如 挑战 响应 ) 认证 技术 可 选项 )。 这 
些 技术 也 可 以 包括 整个 认证 过 程 的 加 密 。 


18.2.2 操作 系统 访问 


对 于 数据 库 应 用 程序 设计 者 来 说 ， 使 用 中 心服 务 器 模型 来 禁止 用 户 直接 访问 操作 系统 是 
很 常见 的 做 法 。 用 户 通过 操作 系统 登录 ， 但 是 会 立即 置 于 一 个 数据 库 应 用 程序 菜单 中 。 这 种 
方法 的 优点 是 用 户 不 需要 了 解 操作 系统 及 其 内 部 命令 。 它 也 允许 应 用 程序 设计 者 把 重点 放 在 
数据 库 上 。 

另 一 种 经 常 使 用 的 技术 是 强制 所 有 数据 库 访问 都 在 一 个 用 户 ID 例如 应 用 程序 用 户 ID ) 
下 进行 。 这 种 技术 是 当前 对 一 些 事务 监视 器 的 需求 。 这 种 方法 的 优点 和 缺点 如 下 : 

。 相 对 来 说 易于 实现 和 管理 。 

。 所 有 数据 访问 都 强制 在 应 用 程序 中 进行 ( 只 要 没 人 能 伪造 SQL 请 求 )。 

。 强 大 的 数据 库 访 问 控制 ， 如 表 、 视 图 和 数据 元 素 安全 ， 会 被 消除 。 

。 因为 所 有 的 活动 都 看 起 来 是 来 日 一 一 个 用 户 ID〈 如 应 用 程序 )， 所 以 审计 跟踪 的 作用 就 降 

低 了 。 


de 
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18.2.3 用 户 配置 文件 


用 户 配置 文件 允许 数据 库 管 理 员 定义 有 关 用 户 会 话 的 特性 。 用 户 配置 文件 主要 用 来 提供 
限制 用 户 访问 数据 库 资 源 的 配置 设 定 ， 但 是 它 也 可 用 来 在 一 段 无 交互 时 间 后 自动 断 开 用 户 。 


18.2.4 授权 控制 


RDBMS 使 用 特权 概念 进行 授权 。 特 权 是 执行 特定 动作 的 权限 。 如 果 用 户 具 有 足够 的 特权 ， 
那么 他 就 可 以 对 数据 库 进 行 一 个 给 定 动作 。 最 初创 建 数据 库 的 用 户 称 做 DB 拥有 者 ， 他 对 该 数 
据 库 拥 有 全 部 的 特权 和 权限 。DB 拥 有 者 向 其 他 用 户 授予 特权 ( 例如， 在 数据 库 上 执行 选 定 动 
作 的 权限 )， 这 也 包括 用 户 向 其 他 用 户 授权 特权 的 能 力 。 在 大 多 数 RDBMS 环 境 中 ， 数 据 库 拥 
有 者 也 称 做 数据 库 管 理 员 (DBA )， 他 拥有 完整 的 特权 集合 。 

可 供 授予 的 特权 分 为 两 种 ， 系 统 级 特权 提供 了 用 于 整个 数据 库 的 特权 ; 表 访 问 特权 用 在 
一 个 选 定 的 表 或 者 视图 上 。 

表 18-1 列 出 了 一 般 的 系统 级 特权 。 

表 18-1 一 般 的 系统 级 特权 


LU -一 


特权 名 称 说 明 


”vv OU -一 


CONNECT ”可 以 访问 数据 库 ， 提 交 命 令 以 操作 数据 〈 包括 导 人 和 导出 )， 创 建 视图 

RESOURCE 。 可 以 改变 数据 库 的 结构 ， 创 建 表 和 索引 ， 创 建 和 指派 用 户 到 组 和 角色 中 

DBA 完全 访问 每 个 表 和 所 有 数据 ， 可 以 赋予 和 撤销 访问 权限 ， 创 建 和 管理 用 户 账号 ， 控 制 审计 功 能 
”一 


具有 CONNECT 和 RESOURCE 特 权 的 用 户 可 以 访问 数据 库 以 及 创建 新 表 和 索引 。 只 具有 
CONNECT 特 权 的 用 户 可 以 访问 表 但 不 能 创建 新 表 。 已 经 创建 了 表 的 用 户 被 给 与 一 个 特殊 的 
权利 。 这 些 用 户 称 做 是 对 象 的 拥有 者 ， 并 且 对 他 们 所 创建 的 对 象 拥有 全 表 访问 特权 。 对 象 的 
所 有 者 或 者 DBA 可 以 把 表 访问 特权 指派 给 其 他 用 户 。 
表 18-2 列 出 了 一 般 的 表 访问 特权 。 
表 18-2 一 般 的 表 访 问 特权 


-一 


表 访 问 特权 说 明 

SELECT 可 以 选择 对 象 并 查询 该 对 象 

INSERT 可 以 在 表 或 视图 中 创建 新 纪录 

UPDATE 可 以 改变 表 或 视图 中 的 数据 项 〈 记录 ) 
DELETE 可 以 删除 列 或 行 

ALTER 可 以 改变 数据 类 型 ， 可 以 添加 或 删除 表 列 
INDEX 可 以 创建 索引 以 方便 表 查 询 
REFERENCES 可 以 创建 表 的 特殊 索引 一 一 外 键 


DB 拥有 者 、DBA 或 者 拥有 资源 的 用 户 ， 可 以 向 独立 用 户 或 者 用 户 组 授予 访问 特权 。 特 
权 可 以 给 与 表 、 视 图 或 者 列 ( 数据 项 ) 上 。 用 户 也 可 以 向 其 他 用 户 授予 特权 ， 然后 再 继续 向 
其 他 用 户 传递 特权 。 只 有 授予 特权 的 用 户 才能 撤销 特权 。 这 里 有 一 个 有 趣 的 副作用 ， 原 始 用 
户 可 能 不 能 直接 撤销 他 们 表 上 的 独立 特权 。 然 而 ， 数据 库 拥有 者 可 以 撤销 所 有 表 特 权 并 重新 
赋 子 。 
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18.2.5 责任 分 离 


传统 的 RDBMS 功 能 ， 如 备份 和 恢复 ， 需 要 操作 者 有 DBA 权 力 才 可 以 进行 。 许 多 数据 库 厂 
商 已 经 认识 到 这 一 问题 ， 并 在 其 产品 中 设计 了 解决 方案 。 例 如 在 Sybase 10.0 中 ， 已 经 定义 一 
套 新 系统 特权 。 这 些 系统 特权 包括 了 系统 安全 负责 者 和 操作 员 。 系 统 安全 负责 者 允许 用 户 来 
维护 系统 ID 、 密 码 、 审 计 信 息 以 及 特权 的 管理 。 操 作 员 特权 允许 备份 和 恢复 功能 的 委托 。 


18.2.6 批 处 理 SQL 语 名 


批 SQL 任务 是 包含 一 串 SQL 语句 的 文件 。 这 些 语 句 是 通过 提供 用 户 ID 和 密码 来 进行 认证 
的 。 批 任务 可 以 在 没有 实际 可 用 的 人 的 时 候 启动 。 如 果 SQL 语 名 中 嵌入 了 一 个 密码 ， 那么 任 
何 能 够 读 取 这 些 语句 的 人 都 可 以 很 容易 地 读 取 该 密码 。 另 一 个 问题 是 包含 密码 的 命令 行 能 够 
被 性 能 监视 工具 所 查看 到 。 解 决 该 问题 的 一 种 方法 是 强制 用 户 在 提交 批 任务 的 时 候 输 入 密码 。 


18.2.7 用 户 组 


大 多 数 RDBMS 系 统 允 许 创建 用 户 组 。 这 样 ， 访 问 特权 可 以 赋予 到 组 而 不 是 独立 用 户 上 。 
一 般 情 况 下 ， 组 的 创建 是 基于 组 织 结构 、 任 务 功能 或 者 二 者 的 结合 体 的 。 与 为 每 个 独立 用 户 
单独 标识 访问 特权 比 起 来 ， 使 用 组 通常 能 减少 和 简化 数据 库 的 管理 工作 。 一 个 称 做 PUBLIC 的 
特殊 组 允许 特权 指派 到 数据 库 的 每 个 用 户 上 。 

当 对 数据 的 访问 可 以 同 部 门 或 者 任务 功能 行 组 织 在 一 起 并 且 访问 特权 静态 不 变 的 时 候 ， 
组 结构 工作 良好 。 当 根据 用 户 所 执行 的 功能 类 型 而 对 用 户 授予 不 同 权 限 的 时 候 ， 组 结构 就 不 
再 工作 。 在 这 种 情况 下 ， 组 结构 趋向 于 太 固 定 。 


18.2.8 角色 


某 些 RDBMS 实 现 提供 了 一 个 新 功能 ， 基 于 角色 的 访问 特权 。 角 色 人 允许 基于 任务 功能 的 特 
权 指 派 。 角 色 不 同 于 组 ， 其 原因 在 于 角色 要 映射 到 任务 的 实际 职责 上 ， 而 不 是 部 门 或 者 组 织 
结构 的 职责 。 例 如 ， 可 以 为 个 人 经 理 定义 一 个 角色 ， 该 角色 人 允许 他 们 访问 所 有 的 个 人 数据 。 

角色 没有 组 结构 严格 ， 一 个 角色 可 以 同 其 他 角色 结合 起 来 以 执行 更 复杂 的 功能 。 角 色 也 
可 以 授予 用 户 ， 并 且 同 其 他 角色 结合 起 来 以 形成 新 角色 。 角色 不 是 具体 于 数据 的 ， 它 可 以 同 
数据 库 系统 特权 结合 起 来 。 例 如 ， 角 色 可 以 允许 特权 用 户 创建 表 的 新 视图 一 一 即使 该 用 户 没 
有 RESOURCE 特 权 。 

在 Oracle 7.0 中 ， 使 用 角色 可 以 为 备份 和 恢复 创建 一 个 OPERATOR 和 角色， 而 无 需 授予 用 户 
完全 DBA 特 权 。 角 色 可 以 定制 以 允许 DBA 责 任 的 分 离 。 另 外 ， 具体 角色 的 使 用 可 以 有 选择 地 
需要 密码 。 

角色 是 灵活 的 ， 有 必要 为 其 制定 相应 的 标准 和 指导 原则 。 和 否则 ， 应 用 角色 很 可 能 导致 安 
全 权限 的 重 琶 和 冲突 ， 从 而 最 终 面 对 的 是 一 个 混乱 的 Web 环 境 。 : 


18.2.9 存储 过 程 


存储 过 程 是 预定 义 的 SQL 语 句 集合 ， 它 可 以 处 理 、 编 译 以 及 优化 。 一 个 存储 过 程 调用 可 
以 执行 多 个 SQL 声明 。 存 储 过 程 对 于 客户 机 -服务 器 模型 来 说 非常 具有 吸引 力 ， 在 这 种 模型 下 ， 
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存储 过 程 通常 要 比 其 他 方法 更 擅 于 提交 SQL 语句 。 存 储 过 程 可 以 被 多 个 程序 共享 ， 从 而 提高 
编程 效率 。 存 储 过 程 也 可 以 被 普通 用 户 通过 提交 ISQL 请 求 来 调用 。 尽 管 存储 过 程 的 标准 化 工 
作 已 经 开展 ， 但 是 当前 各 个 厂商 都 以 不 同 的 方法 来 实现 存储 过 程 。 

如 果 用 户 有 权利 执行 该 存储 过 程 ， 存 储 过 程 可 以 用 来 允许 存储 过 程 创建 者 的 特权 被 其 他 
用 户 临 时 使 用 。 这 些 特 权 是 临时 的 ， 并 且 只 在 存储 过 程 执行 时 才 有 效 。 如 果 一 个 存储 过 程 是 
DBA 创 建 的 ， 那 么 该 存储 过 程 可 以 允许 一 个 普通 用 户 访问 DBA 特 权 。 该 特点 最 常见 的 用 途 是 
允许 责任 分 离 一 一 允许 用 户 为 某 些 经 过 选择 的 功能 而 受 限 访问 DBA 特 权 。 





数据 库 设 计 者 可 以 使 用 存储 过 程 来 极 大 地 提高 安全 性 。 通 过 撤销 普通 用 户 对 选 定 表 
或 视图 的 访问 权 并 将 其 赋予 到 一 个 存储 过 程 ， 数 据 库 设计 者 可 以 强制 所 有 的 访问 都 通过 
该 存储 过 程 。 这 不 仅 降低 了 管理 难度 ， 而 且 能 够 防止 用 户 、 程 序 员 以 及 应 用 程序 访问 敏 
感 表 。 看 储 过 程 也 可 以 拒绝 对 SQL 报告 书写 器 的 访问 ， 并 保证 审计 跟踪 的 完整 性 。 


可 用 密码 来 授权 存储 过 程 的 使 用 。 同 批 SQL 语 名 一样， 问题 在 于 应 该 把 密码 放 在 哪里 。 
经 常 使 用 的 一 个 方法 是 ， 如 果 存 储 过 程 是 从 PC 客户 机 上 执行 的 ， 那 么 应 该 把 密码 隐藏 在 该 PC 
机 上 的 一 个 库 中 。 


18.2.10 触发 器 


触发 器 是 在 一 个 预定 义 的 任务 进行 以 后 自动 执行 的 一 个 存储 过 程 ， 其 目的 在 于 维护 数据 
库 的 参考 完整 性 。 正 常情 况 下 ， 触 发 器 是 由 同 数据 相关 的 任务 启动 的 ， 如 表 插入 、 更 新 和 删 
除 。 从 安全 角度 上 看 ， 触 发 器 对 于 施加 额外 安全 控制 来 说 是 非常 有 用 的 。 

在 RDBMS 环 境 中 ， 为 了 提高 安全 性 和 审计 ， 触 发 器 的 使 用 是 很 常见 的 。 有 一 种 数据 库 实现 
使 用 触发 器 来 有 选择 地 监视 对 敏感 记录 的 访问 。 在 这 种 情况 下 ， 所 有 对 高 级 管理 人 员工 资 记录 的 
访问 都 会 被 审计 。 触 发 器 的 一 个 更 精妙 的 用 途 是 用 做 数据 库 安全 的 一 个 备份 。 创 建 和 维护 一 个 单 
独 的 用 户 访问 特权 表 ， 该 表 同 正常 数据 库 访问 特权 是 分 离 的 。 这 种 方法 意 在 检查 出 任何 破坏 安 
全 性 的 用 户 ， 并 给 与 他 们 另外 的 特权 。 同 存储 过 程 一 样 ， 各 个 厂商 对 触发 器 的 实现 各 不 相同 。 


18.2.11 远程 过 程 调用 


远程 过 程 调用 (RPC ) 是 一 种 特殊 的 存储 过 程 ， 它 设计 为 在 客户 机 -服务 器 环境 中 运行 。 
正常 的 存储 过 程 可 以 在 服务 器 上 ( 例如， 在 数据 库 引 擎 上 ) 独占 运行 ， 但 RPC 是 由 客户 机 启 
动 的 ， 然 后 引起 服务 器 上 某 种 形式 的 程序 执行 。 通 常 这 会 导致 一 个 响应 发 回 到 客户 机 上 。 
RPC 的 不 同类 型 包括 OSF DCE RPC，Sun 的 RPC 以 及 Sybase RPC 机 制 。 

同 所 有 的 客户 机 -服务 器 通信 一 样 ， 使 用 RPC 也 有 几 个 需要 考虑 的 安全 问题 : 

。 如果 RPC 进 行 认证 需要 依赖 客户 机 发 送 的 数据 ( 例如 用 户 ID )， 那 么 如 何 才能 保证 客户 

机 没有 发 送 伪造 的 信息 呢 ? 

。 如 果 客 户 机 熟悉 RPC 调 用 的 机 制 ， 那 么 如 何 才能 防止 客户 机 完全 绕 过 认证 方法 呢 ? 

答案 取决 于 远程 过 程 调用 机 制 的 强度 。 


18.2.12 审计 机 制 
RDBMS 解 决 方案 中 有 两 种 可 用 的 审计 机 制 ， 事 务 日 志和 审计 跟踪 。 事 务 日 志 是 在 系统 故 
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障 后 恢复 数据 库 的 方法 。 这 些 日 志 记 录 了 对 数据 库 的 所 有 改变 情况 ， 如 果 出 现 问 题 ， 那 么 可 
以 使 用 这 些 日 志 来 重新 建立 数据 库 。 在 数据 库 术 语 中 ， 事 务 定 义 为 执行 逻辑 条 目 所 需 的 一 系 
列 动作 。 通 常情 况 下 ， 事 务 明 确定 义 在 一 个 BEGIN WORK 语 句 之 后， 并且 只 能 执行 到 一 个 
COMMIT 或 者 ROLLBACK 语 句 为止 。 一 - 些 数据 库 实现 也 支持 数据 库 级 的 事务 记录 ， 如 最 近 的 
Informix 版 。 这 种 类 型 的 日 志 记 录 了 所 有 的 动作 ,不管 一 个 独立 的 事务 是 否 已 经 提交 了 一 个 
BEGIN WORK 语 句 ， 数 据 库 都 可 以 恢复 。 事 务 日 志 通常 保存 在 数据 库 外 部 。 

事务 日 志 的 中 心 功能 是 提供 了 在 数据 库 或 者 事务 失败 的 时 候 回 滚 不 完整 事务 的 能 力 。 回 
滚 的 经 典 用 途 是 银行 应 用 中 的 资金 转移 。 当 一 个 储蓄 账号 和 一 个 提 款 账号 之 间 要 进行 资金 转 
移 时 ， 如 果 系 统 出 现 故 障 ， 那 么 账号 资金 不 能 失去 平衡 。 如 果 在 储 车 账号 中 已 经 提出 资金 但 
是 提 款 账号 尚未 得 到 资金 之 间 出 现 系 统 故障 ， 那 么 整个 事务 都 必须 要 回 滚 ， 从 而 使 得 两 个 账 
号 都 回 到 一 个 一 致 的 、 平 衡 的 状态 下 。 事 务 焦 复 机 制 保证 了 事务 会 按照 正确 的 顺序 回 滚 ， 从 
而 保持 数据 库 的 一 致 性 状态 。 

RDBMS 环 境 也 提供 了 审计 跟踪 功能 。RDBMS 审 计 跟 踪 提 供 了 数据 库 变化 记录 。 在 目的 
和 结构 方面 审计 跟踪 不 同 于 事务 日 志 。 事 务 日 志 的 用 途 是 在 数据 库 出 现 故 摩 的 时 候 进行 数据 
库 恢复 ， 而 审计 跟踪 则 着 眼 于 跟踪 事件 。 尽 管 审计 跟踪 也 跟踪 数据 库 变化 ， 但 是 它 所 跟踪 的 
变化 是 经 过 选择 的 ， 并 且 不 一 定 是 完全 的 。 它 们 也 是 不 同步 的 。 如 果 从 审计 跟踪 中 重新 构建 
一 个 数据 库 ， 那 么 该 数据 库 可 以 肯定 是 不 可 靠 的 和 不 一 致 的 。 

作为 一 个 安全 工具 和 恢复 机 制 ，RDBMS 审 计 是 非常 有 用 的 。 如 果 启 用 的 话 ， 审计 可 以 用 
来 跟踪 安全 事故 中 的 用 户 动作 。 如 果 监 测 到 了 特殊 安全 事件 ， 审 计 也 可 用 来 向 触发 报警 器 担 
供 数据 ， 或 者 提供 警报 。 这 也 包括 用 户 失败 访问 表 或 视图 ， 这 种 情况 有 可 能 意味 着 用 户 正 试 
图 破坏 正常 的 安全 机 制 。 


18.3 有 关 RDBMS 的 问题 


数据 库 环 境 是 一 个 非常 健壮 的 安全 环境 ， 对 其 操作 可 以 予以 适度 信任 。 不 幸 的 是 ， 要 进 
一 步 信任 RDBMS 环 境 ， 首 先 要 解决 很 多 问题 ， 其 中 既 有 数据 库 内 部 问题 也 有 数据 库 外 部 问 
题 。 

尽管 RDBMS 授 权 机 制 是 非常 健壮 的 ,但 是 基本 的 认证 机 制 并 不 足够 强大 。 问 题 如 下 : 

。 如 果 客 户 机 或 者 服务 器 上 的 操作 系统 安全 性 破坏 ， 那 么 数据 库 安 全 性 也 可 能 会 破坏 。 

。 如 果 有 四 户 不 能 直接 访问 操作 系统 或 数据 库 ， 那 么 他 们 如 何 才能 定期 改变 密码 呢 ? 

。 批 处 理应 用 程序 授权 问题 ， 如 果 批 SQL 语句 中 含有 明文 密码 的 话 、 应 用 程序 就 很 容易 破 

坏 。 

。 如 果 厂 商 为 认证 过 程 提供 加 密 处 理 ， 那 么 解决 方案 可 能 是 厂商 独 有 的 ， 因 而 不 能 被 其 他 

RDBMS 所 使 用 。 

。 一 个 RpBMS 可 以 代表 用 户 来 调用 其 他 RDBMS， 支持 这 种 代理 行为 的 认证 和 授权 机 制 具 

有 很 多 问题 。 本 质 上 ， 客 户 机 的 标识 是 以 明文 形式 或 者 根本 就 没有 ) 传递 到 第 二 个 

RDBMS 上 的 。 

。RDBMS 需 要 有 能 力 在 用 户 和 访问 类 型 的 基础 上 限制 ISQL 访 问 。 

。 大 量 远 程 RDBMS 系 统 的 管理 需要 自动 工具 来 同步 用 户 ID、 密 码 和 用 户 访问 权 震 。 

授权 机 制 的 强度 是 由 伴随 的 认证 机 制 来 决定 的 。 在 大 多 数 数据 库 环境 中 ， 密 码 在 网 络 上 
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是 以 明文 形式 传输 的 ， 因 此 它们 很 容易 被 LAN 流 量 监视 工具 截获 。 操 作 系 统 认证 同样 难 逃 厄 
运 。 

如 果 操 作 系统 控制 是 脆弱 的 ， 那 么 不 管 数据 库 的 内 部 控制 如 何 强大 ， 破 坏 者 都 可 以 很 容 
易 地 破坏 它 。 客 户 机 认证 程序 〈 例如 logon 登 录 程 序 ) 可 能 会 被 特洛伊 木马 所 取代 ， 木 马 程序 
伪装 成 合法 程序 ， 但 实际 上 会 捕获 用 户 的 密码 。 如 果 一 个 UNIX 系 统 上 的 安全 性 很 松散 ， 那 么 
攻击 者 可 以 使 用 一 个 调试 工具 来 检查 驻 留 数据 库 的 设备 文件 ， 并 得 到 DBA 密 码 。 


数据 库 管 理 员 应 该 掌握 对 UNIX 原 始 磁盘 设备 的 攻击 。 使 用 很 多 常见 的 调试 工具 《如 


UNIX 和 八进制 转 储 工具 )， 攻 击 者 可 以 很 容易 地 发 现 许多 RDBMS 版 本 的 DBA 密 码 。 不 管 
RDBMS 控 制 有 多 强大 ， 真 正 起 作用 的 是 操作 系统 的 安全 性 ! 


如 果 用 户 访问 数据 库 应 用 程序 ， 那 么 后 者 要 代表 用 户 去 访问 第 二 个 数据 库 ， 这 会 出 现 一 
些 问 题 。 所 有 的 请 求 看 起 来 都 好 像 来 自 同一 个 地 方 〈 初 始 数据 库 )， 如 何 才 能 在 第 二 个 数据 库 
上 施 以 访问 控制 呢 ? 

如 果 许 可 客户 机 可 以 通过 一 个 应 用 程序 在 数据 库 表 中 插入 行 或 列 ， 那么 需要 注意 什么 问 
题 呢 7 应 用 程序 可 以 保证 数据 库 会 以 一 个 一 致 的 方式 修改 ,但 是 如 果实 现 了 ISQL 的 话 ， 它 们 
的 访问 就 是 不 受 控制 的 了 。 

对 多 个 数据 库 的 数据 库 用 户 和 特权 进行 集中 式 管理 也 是 一 个 问题 。RDBMS 安 全 管理 一 般 
是 由 数据 库 厂商 在 一 个 中 心 数 据 库 的 基础 上 提供 的 ， 它 不 允许 集中 式 管理 。 


18.3.1 附加 的 解决 方案 


RDBMS 环 境 有 很 多 可 用 的 第 三 方 解 决 方案 。 这 些 解决 方案 提供 了 大 量 的 安全 增强 功能 ， 
其 中 包括 ; 

。 用 于 认证 的 一 次 挑 成 -响应 密码 解决 方案 一 一 防止 在 LAN 上 发 现 密码 。 

。 密码 策 略 增强 ， 例 如 最 小 密码 长 度 限 制 和 过 期 时 间 限 制 。 

。 有 用户、 角色 和 特权 的 集中 式 管理 。 

。SQL 访 问 强制 通过 SQL 访问 控制 机 制 ， 每 次 查询 都 需要 控制 机 制 进行 授权 。 

。 提供 日 历 访问 控制 。 

。 用 户 动作 和 命令 的 审计 跟踪 。 

。 基 于 存储 过 程 的 用 户 访问 控制 。 

一 般 来 说 ， 数 据 库 厂商 非常 乐意 为 其 环境 提供 第 三 方 解 决 方案 分 类 目录 。 


18.3.2 传输 安全 性 


许多 数据 库 厂 商都 已 经 认识 到 ， 在 客户 机 -服务 器 世界 中 ， 必 须要 有 在 不 可 信 网 络 上 提供 
通信 完整 性 的 机 制 。 这 些 机 制 为 客户 机 和 服务 器 之 间 的 认证 处 理 和 后 续 通 信 提 供 加 密 。 这 也 
可 以 包括 对 二 者 之 间 所 传输 的 数据 的 加 密 。 

例如 ，Oracle 公 司 提供 的 安全 网 络 服务 ( Secure Network Service， SNS ) 产品 就 是 这 种 类 
型 的 机 制 。SNS 在 离开 客户 机 之 前 对 密码 进行 加 密 。 通过 支持 DES40 算 法 和 RSA 数 据 安全 公 
司 的 RC4 算 法 ，SNS 提 供 了 数据 完整 性 。 

Sybase 在 其 10.0 版 中 也 提供 了 这 种 功能 ， 它 可 以 对 用 户 密 码 的 存储 进行 加 密 。 另 外 ， 当 
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密码 从 客户 机 发 送 到 服务 器 上 的 时 候 ， 它 还 可 以 对 密码 进行 加 密 ( 可 选项 )。 

包括 Informix 和 Oracle 在 内 的 大 多 数 RDBMS 厂 商都 宣布 了 结合 OSF/DCE 环 境 的 产品 。 从 
信任 角度 上 看 ， 可 以 使 用 DCE 支 持 的 Kerberos 认 证 模型 来 认证 数据 库 用 户 。 从 DCE 安 全 服务 
处 得 到 的 证 明 可 以 由 数据 库 服务 器 校 验 。 另 外 ， 也 支持 DCE 定 义 的 6 个 加 密级 别 。 这 使 得 可 以 
使 用 多 级 安全 措施 ( 例如 加 密 ) 来 保护 从 客户 机 到 数据 库 服 务 器 的 调用 。DCE 安 全 的 使 用 也 
提供 了 单一 登录 功能 ， 这 可 以 为 其 他 非 RDBMS 应 用 程序 所 用 。 有 些 厂商 也 允许 DCE 安 全 服务 
来 管理 和 控制 数据 库 安全 特权 ， 如 用 户 到 角色 的 指派 。 

不 幸 的 是 ， 并 不 是 所 有 厂商 都 为 全 部 OSF/DCE 环 境 提供 全 面 的 支持 。 例 如 ， 只 有 一 些 厂 
商 支持 命名 服务 ， 并 不 是 全 部 的 厂商 解决 方案 都 提供 支持 。 


18.3.3 数据 合并 


在 使 用 数据 库 时 ， 一 个 普遍 让 人 头疼 的 问题 是 不 能 访问 和 掌握 已 经 累积 的 大 量 数据 。 做 
出 更 好 的 决定 需要 足够 的 信息 。 但 是 如 果 不 能 定位 数据 ， 那 么 如 何 从 信息 中 受益 呢 ? 另 一 个 
问题 是 性 能 问题 : 如 果 提 供 了 产品 数据 库 的 在 线 查 询 能 力 ， 那么 如 何 保证 查询 性 能 ? 建议 建 
立 数据 仓库 来 对 付 这 些 挑战 。 


18.4 数据 仓库 的 概念 


数据 仓库 是 由 公司 生成 和 保持 的 数据 组 成 的 有 组 织 的 数据 集合 。 更 为 正式 的 定义 是 ， 数 
据 仓 库 是 一 个 面向 目标 的 、 集 成 的 、 随 时 间 变 化 的 、 永久 的 数据 集合 ， 它 主要 用 来 支持 组 织 
决策 。 数 据 仓库 用 做 收集 、 标准 化 和 总 结 操作 系统 中 进行 的 事务 累积 的 仓库 。 数 据 仓库 中 的 
信息 实际 上 是 静态 的 ， 其 主要 用 于 决策 支持 和 管理 报告 。 数 据 仓库 更 多 的 是 一 个 组 织 概念 而 
非 一 个 技术 概念 。 如 果实 现 正确 的 话 ， 数据 他 库 为 组 织 浊 和 更 妈 的 和 提供 了 一 和 方法; 数 
据 仓库 化 用 于 以 下 方面 : 

。 历 史 和 总 结 数据 的 一 个 中 心 分 发 点 。 

。 根据 目标 而 非 应 用 组 织 数 据 。 

。 集 成 数据 以 满足 整个 组 织 的 需要 。 

。 为 建 模 和 趋势 分 析 提供 历史 数据 。 

。 为 用 于 组 织 的 信息 提供 标准 定义 和 表示 。 

若 要 真正 起 作用 ， 数 据 仓库 必须 要 包括 数据 仓库 用 户 轮廓 、 把 数据 放置 于 仓库 中 的 用 户 
列表 、 仓库 中 所 包含 的 数据 分 类 。 为 了 使 用 户 可 以 访问 并 有 意义 地 报告 数据 ， 必须 要 有 可 用 
的 工具 。 如 果 要 求 重 复 报告 ， 还 可 能 会 包括 预约 服务 。 

通常 情况 下 ， 数据 仓库 用 做 分 析 和 决策 支持 工具 ， 它 一 般 不 支持 业务 事务 处 理 。 数 据 仓 
库 中 所 存储 的 数据 是 基于 目标 、 产 品 或 者 员工 的 ， 而 不 是 基于 操作 数据 库 的 事务 的 。 在 数据 
仓库 中 保存 数据 应 该 同时 保存 对 数据 何 时 收集 的 指示 说 明 。 我 们 需要 知道 数据 的 时 间 关 系 以 
便 掌握 生成 的 报告 并 以 历史 观点 来 分 析 。 数 据 仓库 中 的 数据 通常 是 只 读 的 。 这 些 数 据 既 不 是 
数据 仓库 生成 的 ， 一 般 也 不 会 在 数据 仓库 中 更 新 或 者 删除 。 

数据 仓库 是 不 容易 定义 和 实现 的 。 标 识 置 放 于 仓库 中 的 数据 一 一 定 要 小 心 谨慎。 数据 从 哪 
里 来 ， 如 何 总 结 或 者 如 何 进行 过 滤 以 决定 是 否 进行 存储 ， 对 这 些 问 题 一 定 要 仔细 解答 。 如 果 
“不 进行 仔细 的 分 析 和 计划 ， 那 么 所 实现 的 数据 仓库 必定 只 不 过 是 提供 了 另 一 个 数据 存储 地 点 ， 
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数据 很 难 访问 和 使 用 。 从 源 系 统 中 提取 、 变 换 以 及 装载 处 理 信 息 时 一 定 要 小 心 谨 慎 ，。 

从 安全 和 信任 角度 看 ， 数 据 仓库 提供 了 集中 管理 访问 公司 数据 的 功能 ， 而 不 管 数据 位 于 
何 处 。 一 个 RDBMS 所 面 对 的 基本 安全 问题 在 数据 仓库 中 仍然 存在 。 为 一 个 集中 式 数据 库 解决 
这 些 问 题 要 比 为 多 个 分 布 式 数据 库 解决 问题 容易 得 多 。 分 布 式 数据 仓库 要 解决 分 布 式 数据 库 
所 面临 的 所 有 安全 问题 。 


18.5 结论 


数据 库 可 以 起 到 保存 重要 信息 的 防护 墙 作用 。 数 据 库 可 以 保护 应 用 程序 数据 ( 至 少 在 某 
种 程度 上 ) 一 一 即使 在 系统 已 经 破坏 的 情况 下 。 数 据 库 提供 了 强大 的 数据 访问 控制 ， 这 包括 
根据 特定 标准 来 限制 数据 的 用 户 视图 。 数 据 库 也 提供 了 相对 健壮 的 审计 跟踪 ， 并 把 它们 向 本 
地 系统 管理 员 保 护 起 来 (但 并 非 全 部 )。 这 些 优点 使 得 数据 库 成 为 在 分 布 式 环境 中 存储 和 保护 
应 用 程序 数据 的 合理 地 方 。 
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自动 柜员 机 ( ATM ) 的 出 现 使 得 很 多 银行 事务 不 再 通过 银行 营业 员 来 办 理 了 。 在 进行 事 
务 时 ， 用 户 不 会 关心 他 所 使 用 的 是 什么 类 型 的 ATM 或 者 这 些 机 器 由 谁 控制 。 当 用 户 通过 ATM 
来 存 钱 或 者 取 钱 的 时 候 ， 就 可 能 执行 一 次 联机 事务 。 事 务 的 概念 实际 上 是 批 处 理 的 扩展 ， 其 
中 执行 一 个 计算 机 程序 、 访 问 和 操作 多 个 文件 ,并 且 根 据 所 输入 数据 而 传送 产生 的 结果 。 在 
该 过 程 中 ,计算机 终端 用 来 输 和 文件 和 显示 结果 ， 从 而 代替 了 输入 文件 和 打印 报告 。 

银行 和 保险 机 构 是 联机 事务 处 理 ( On-Line Transaction Processing，OLTP ) 的 早期 用 户 。 
当 你 站 在 银行 柜台 前 时 ， 银 行营 业 员 使 用 OLTP 系 统 能 够 访问 准确 的 信息 和 进行 资金 事务 。 在 
你 离开 柜台 之 前 ， 这 些 事务 就 已 完成 ， 并 且 你 的 账号 得 到 了 更 新 。 在 本 章 中 ， 我 们 将 探讨 一 
下 事务 的 组 件 以 及 它 与 其 他 处 理 形式 的 区 别 。 当 事务 成 为 分 布 式 系统 的 一 部 分 时 ， 它 们 的 管 
理 和 安全 性 就 变 得 非常 重要 了 。 

飞机 订 票 系统 是 OLTP 的 最 早 应 用 ， 它 能 很 好 地 说 明 OLTP 的 能 力 和 价值 。 使 用 OLTP 系 统 ， 
航空 公司 能 够 合理 地 安排 飞机 航 位 ， 即 使 不 能 准确 的 知道 具体 座位 上 的 乘客 或 者 座位 具体 由 
谁 来 出 售 。 旅 游 或 者 航空 代理 可 以 代表 航班 来 销售 机 票 ， 通 过 访问 一 个 数据 库 ， 他 们 可 以 查 
到 是 否 有 空位 ， 如 果 有 便 向 乘客 销售 。OLTP 系 统 需 要 在 很 短 的 时 间 段 内 处 理 大 量 的 事务 ， 并 
且 要 向 机 票 代理 机 构 提 供 及 时 的 响应 。 试 想 一 下 ， 如 果 航 空 公司 没有 使 用 联机 事务 处 理 系统 
来 管理 航班 的 能 力 ， 那 么 空中 旅行 会 多 么 的 可 怕 ! 

银行 和 飞机 订 票 系统 在 事务 出 现时 进行 事务 处 理 。 例 如 ，ATM 遵 循 一 个 严格 的 协议 来 进 
行事 务 执行 和 控制 。 银 行 需要 保证 当 你 在 你 的 账号 上 提 钱 时 ， 总 是 能 够 得 到 正确 数额 的 现 
金 ; 如 果 机 器 因为 菜 种 原因 而 出 现 故障 ， 那 么 你 的 账号 不 会 减少 实际 上 并 没有 被 提取 的 资金 
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数额 。 银 行 必 须 保 证 不 能 出 现 如 下 情形 ， 一 个 用 户 从 一 台 机 器 上 提取 200 块 钱 ， 并 在 另外 一 人 台 
机 器 上 或 者 从 银行 的 另 一 个 分 部 中 也 提取 相同 的 200 块 钱 。 

在 信任 方面 ， 事 务 系统 与 基于 普通 用 户 的 系统 有 所 不 同 。 安 全 性 通常 分 布 到 操作 系统 、 
网 络 系统 以 及 事务 系统 本 身上 。 在 一 个 事务 系统 中 ， 事 务 的 实际 用 户 以 及 事务 启动 的 位 置 可 
能 是 瞬时 的 。 执 行 一 个 事务 所 需要 的 授权 是 基于 用 户 的 已 认证 过 的 标识 的 。 接 受 事务 所 需要 
的 授权 是 基于 事务 启动 位 置 或 者 网 络 访问 的 已 认证 过 的 标识 的 。 例 如 ， 对 一 个 ATM 上 的 银行 
事务 的 授权 要 依赖 该 ATM 的 物理 位 置 和 标识 ， 以 及 事务 用 户 的 标识 张 卡 
和 一 个 个 人 标识 号 (PIN )。 在 分 布 式 事务 处 理 系统 中 ， 解 决 这 种 授权 问题 是 非常 困难 的 。 


19.1 事务 的 概念 


在 过 去 ， 区 别 事务 驱动 的 系统 和 非 事 务 驱动 的 系统 是 很 容易 的 。 如 果 使 用 一 个 终端 并 按 
回 车 键 ， 那 么 它 就 是 一 个 联机 事务 系统 。 那 么 到 底 如 何 定义 事务 呢 ? 事务 是 一 个 用 户 和 一 个 
应 用 程序 之 间 、 或 者 两 个 或 多 个 应 用 程序 之 间 的 一 个 数据 驱动 的 关系 ， 它 需要 在 所 提供 数据 
的 基础 上 实时 执行 一 个 程序 并 产生 可 证 明 的 结果 。 事 务 有 一 个 明确 定义 的 开始 和 结果 ， 并 在 
二 者 之 间 进 行 某 种 形式 的 程序 执行 。 联 机 工作 单元 看 做 是 一 个 事务 ， 前 提 是 它 具 有 所 谓 的 
ACID 属性 。ACID 属 性 如 下 : 

。 原子 性 ( Atomicity ) 一 一 事务 是 完整 的 或 者 是 不 完整 的 。 事 务 不 能 部 分 完成 ， 并 处 于 

一 个 不 确定 的 状态 下 。 

。 一致 性 ( Consistency ) 一 一 更 新 数据 需要 保持 数据 的 完整 性 ， 即 从 一 个 稳定 〈 一 致 ) 

状态 变换 到 另 一 个 稳定 状态 。 

。 隔离 性 ( lsolation ) 一 一 对 于 共享 数据 上 的 事务 来 说 ， 其 作用 只 应 该 在 该 事务 提交 后 才 

能 被 其 他 事务 所 看 到 。 进 行 中 的 事务 所 需要 的 任何 信息 都 应 该 加 锁 以 防止 其 他 事务 修改 

它们 。 

“持久 性 (Durability ) 一 一 事务 的 作用 是 等 人 中， 并 且 对 数据 的 关键 修改 不 会 被 后 面 的 

系统 故障 破坏 掉 。 


事务 是 进行 联机 访问 的 一 个 完整 的 工作 单元 以 及 在 保证 完整 性 的 情况 下 对 共享 数据 
的 更 新 。 工 作 单 元 的 执行 必须 要 遵守 ACID 属 性 ， 否 则 便 不 能 看 做 是 一 个 事务 。 : 











19.1.1 分 布 式 逻 辑 工作 单元 


在 第 9 章 中 ， 我 们 已 经 介绍 了 混 加 工作 单元 (LUW ) 的 概念。 现在 ， 要 把 这 个 概念 扩展 成 
分 布 式 逻 辑 工作 单元 。 逻 辑 工作 单元 的 概念 依旧 不 变 ，4 只 不 过 扩大 到 具有 多 个 处 理 器 的 分 布 
式 环 境 中 。 在 图 19-1 中 ， _ 个 独立 的 沁 辑 工作 单元 分 布 到 两 个 服务 器 上 。 读 写 文件 X、 读 文件 
Z、 然 后 请 求 在 服务 器 B 上 执行 一 个 过 程 一 一 读 并 更 新 文件 Y， 这 些 动作 可 以 看 做 是 一 个 远 辑 
工作 单元 。 逻 辑 工作 单元 包括 了 服务 器 A 上 的 过 程 A 和 服务 器 B 上 的 过 程 B。 如 果 从 过 程 A 的 开 
始 到 文件 Z 的 更 新 这 一 范围 内 的 任何 操作 出 现 失败 ， 那么 文件 X、Y、Z 帮 要 退回 到 过 程 人 月 下 

的 时 刻 之 前 。 每 个 逻辑 工作 单元 代表 一 次 任务 的 完成 。 

在 前 面 一 章 中 ， 我 们 已 经 探讨 了 回 滚 的 机 制 ， 加 六 的 目的 是 为 了 保持 数据 库 始终 处 于 一 

个 一 致 的 状态 。 在 事务 处 理 中 ， 提交 和 回 滚 概念 是 非常 重要 的 。 提 交 是 事务 周期 中 的 一 个 时 


eg 
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刻 ， 到 该 时 刻 完成 的 所 有 工作 都 会 永久 使 用 。 如 果 事务 过 程 中 出 现任 何 错误 ， 那 么 就 会 调用 
一 次 回 滚 ， 从 而 把 所 有 一 切 都 重新 设 回 到 前 一 次 提交 时 刻 前 ， 或 者 事务 开始 执行 前 。 提 交通 
常 是 在 一 个 逻辑 工作 单元 的 完成 之 前 调用 的 。 如 果 需 要 的 话 ， 就 会 进行 回 滚 ， 从 而 把 事务 设 
置 回 到 逻辑 工作 单元 开始 之 前 。 


服务 器 A 





19.1.2 分 布 式 数据 访问 模型 


OLTP 系 统 收集 和 处 理 关于 业务 事务 的 信息 ,并 把 改变 施加 到 组 织 共享 的 数据 库 和 文件 上 。 
对 于 访问 共享 文件 或 数据 库 来 说 ， 一 个 长 期 存在 的 问题 是 谁 管理 这 种 访问 。 用 户 必须 管理 这 
种 访问 吗 ? 或 者 ， 如 果 进 行 自动 处 理 ， 那 么 需要 注意 些 什 么 ? 图 19-2 说 明了 两 种 不 同 的 程序 
执行 和 共享 数据 访问 模型 ， 它 们 描述 了 不 同 的 客户 机 -服务 器 需求 。 


客户 机 客户 机 





图 19-2 事务 处 理 模型 


在 一 个 过 程 中 访问 多 个 文件 或 数据 库 的 一 种 方法 是 让 客户 机 来 维护 服务 器 过 程 的 管理 和 
信息 。 在 这 种 情况 下 ， 客 户 机 需要 知道 数据 库 服务 器 所 在 的 位 置 ， 从 而 加 重 了 客户 机 的 负担 。 
所 以 ， 客 户 机 管理 模型 并 不 广泛 使 用 。 解 决 此 问题 的 另 一 个 方法 是 让 服务 器 来 维护 文件 或 者 
数据 库 的 管理 和 信息 。 同 样 ， 协 调和 更 新 问题 仍旧 存在 。 管 理 数据 库 访问 的 一 个 更 好 的 方法 
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是 把 程序 的 执行 和 对 文件 或 数据 库 的 访问 都 集中 起 来 。 这 样 ， 访 问 和 管理 文件 或 数据 库 的 任 
务 是 由 软件 而 不 是 用 户 来 承担 的 。 因 而 ， 管 理 难度 大 大 降低 了 。 


19.2 事务 处 理 系统 的 组 件 


如 果 要 集中 管理 事务 的 执行 和 对 不 同 数据 库 的 访问 ， 那 么 必须 要 有 一 个 正确 的 机 制 。 事 
务 处 理 (Transaction Processing，TP ) 系统 利用 TP 监 视 器 主 程序 来 管理 事务 的 执行 。TP 监 视 
器 起 到 一 个 微型 操作 系统 的 作用 ， 它 具有 对 事务 执行 和 数据 访问 进行 调度 的 能 力 。TP 监 视 器 
也 管理 ACID 属性 ， 并 提供 维护 这 些 属 性 所 需 的 服务 。 当 事务 执行 成 功 或 者 完成 时 ，TP 监 视 器 
管理 提交 请 求 ; 如 果 执 行 不 成 功 ， 那 么 TP 管 理 器 调用 回 滚 。TP 监 视 器 能 够 在 过 程 失败 的 情况 
下 维护 数据 的 完整 性 。 . 

图 19-3 说 明了 OLTP 系 统 的 各 个 组 成 部 件 。 在 这 些 组 成 部 件 之 中 ， 有 一 些 已 经 移 到 了 OLTP 
系统 之 外 ， 从 而 利用 数据 库 系 统 的 优点 和 桌面 系统 的 处 理 能 力 。 屏 幕 管理 器 提供 了 用 户 界 面 
机 制 ， 现 在 ， 它 一 般 由 一 台 本 地 PC 来 提供 。OLTP 系 统 所 需 的 资源 管理 是 依赖 于 实现 系统 的 操 
作 系 统 的 。 事 务 处 理 服务 负责 分 派 要 进行 的 工作 。 资 源 管理 器 提供 了 对 处 理 器 、 内 存 以 及 其 
他 资源 的 有 组 织 的 访问 。 通 常 ， 数 据 的 管理 被 委托 给 独立 的 数据 库 系 统 (OLTP 系 统 需 要 与 其 
通信 ) 进行 。 分 布 服务 组 件 管理 数据 的 共享 和 对 数据 的 访问 。 另 外 ， 有 很 多 工具 可 用 于 帮助 
构建 基于 应 用 的 事务 。TP 监 视 器 本 身 就 是 一 个 应 用 程序 ， 它 需要 使 用 操作 系统 和 网 络 传输 的 
处 理 和 通信 服务 。 


人 


事务 处 理 服 务 
屏幕 管 资源 管 
理 器 分 布 服务 理 器 
客户 机 -服务 器 通信 和 数据 共享 


操作 系统 和 网 络 传输 


图 19-3 OLTP 系 统 组 件 





19.2.1 TP 监视 器 


由 于 本 身 性 质 的 原因 ， 事 务 的 起 源 和 其 在 一 个 给 定 的 时 间 段 内 需要 处 理 的 次 数 都 是 不 可 
预测 的 。 我 们 可 以 猜测 有 多 少 人 可 能 要 从 银行 中 取 钱 ， 不 管 是 用 ATM 还 是 经 过 银行 营业 员 。 
但 是 ， 我 们 不 可 能 知道 准确 的 数字 。 我 们 需要 有 一 个 方法 来 管理 这 些 事务 的 处 理 ， 从 而 做 到 
能 够 以 这 样 一 种 方式 来 分 配 所 需 的 资源 ， 即 保证 事务 准确 和 尽 可 能 快 地 被 处 理 。 若 要 进行 预 
测 ， 那 么 最 容易 的 方法 是 假设 所 有 的 ATM 和 银行 终端 都 具有 相同 的 使 用 率 。 但 这 是 不 切实 际 
的 ， 丰 可 能 所 有 的 ATM 或 者 银行 终端 都 在 全 天 时 间 内 完全 利用 。 需 要 一 个 机 制 来 帮助 我 们 管 
理事 务 发 生 的 高 峰 期 和 低谷 期 。 这 种 事务 管理 机 制 通常 称 做 事务 处 理 监视 器 。 
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使 用 联机 事务 处 理 监视 器 的 主要 目的 是 管理 事务 的 调度 和 资源 的 访问 。 资 源 经 常用 来 
描述 可 以 消耗 或 者 需要 管理 的 任何 东西 ， 如 处 理 器 内 存 、 数 据 文件 和 数据 库 、 处 理 器 周期 
以 及 通信 系统 。 事 务 监视 器 必须 管理 事务 ， 即 分 配 资 源 以 保证 事务 能 够 尽 可 能 快 地 完成 。 
OLTP 监 视 器 必须 能 够 动态 的 管理 可 变数 目的 事务 ， 因 为 我 们 对 事务 的 数目 和 发 生 时 间 根 本 
无 法 预测 。 

联机 事务 处 理 监 视 器 经 常用 于 分 布 公司 内 部 以 及 公司 之 间 的 事务 。OLTP 监 视 器 必须 能 够 
提供 可 以 跨越 独立 OLTP 和 数据 库 系统 的 事务 服务 。 这 包括 了 完整 事务 或 者 事务 处 理 组 件 的 路 
由 。 如 果 你 使 用 一 个 ATM， 而 控制 该 该 机 器 的 银行 并 不 是 你 的 账号 所 属 的 银行 ， 那 么 在 这 种 
情况 下 事务 必须 要 在 至 少 两 个 系统 中 处 理 ， 一 个 系统 用 来 从 你 的 账号 中 扣除 提 走 的 钱 数 并 把 
钱 从 你 的 银行 传送 到 拥有 该 ATM 的 银行 ， 而 另 一 个 系统 则 用 来 分 发 钱 、 减 少 该 ATM 上 可 用 的 
现金 量 并 从 你 的 银行 中 接受 钱 以 补偿 你 的 提 款 。 


19.2.2 TP 监视 器 需求 


前 面 我 们 已 经 介绍 了 ACID 属 性 ， 并 把 它们 作为 判断 一 个 工作 单元 是 否 能 称 做 一 个 事务 的 
标准 。 为 了 提供 事务 系统 所 需 的 服务 ，TP 监 视 器 必须 也 提供 附加 需求 的 解决 方案 。 事 务 所 需 
的 资源 是 由 TP 监 视 器 管理 的 。 因 此 ，TP 监 视 器 必须 包含 通常 情况 下 可 以 在 操作 系统 或 者 数据 
库 系 统 中 找到 的 属性 和 机 制 。 表 19-1 概 括 了 一 个 OLTP 系 统 必须 提供 的 需求 和 性 质 ， 比 较 各 种 
商业 TP 监 视 器 应 该 参照 此 表 。 

表 19-1 联机 事务 处 理 监视 器 需求 


-一 


需 求 TP 监视 器 
优先 级 管理 根据 事务 预先 指定 的 优先 级 或 者 到 达 时 间 对 事务 的 执行 进行 优先 级 排序 
恢复 在 出 现 系统 或 者 应 用 程序 故障 的 情况 下 保存 数据 更 新 
应 用 程序 接口 通过 标准 API 同 带 有 事务 监视 器 的 应 用 程序 进行 交互 
数据 完整 性 当 管 理 并 发 更 新 和 系统 故障 时 保持 数据 完整 性 
数据 访问 提供 对 大 型 数据 库 的 可 靠 的 实时 访问 
性 能 在 不 牺牲 用 户 性 能 的 情况 下 同时 处 理 许多 事务 
安全 性 只 对 授权 用 户 提供 数据 访问 权 ， 并 且 只 允许 通过 授权 途径 访问 数据 


19.2.3 OLTP 是 可 信任 的 


OLTP 系 统 提供 了 信任 的 可 用 性 和 性 能 组 件 。TP 监 视 器 技术 已 经 出 现 20 多 年 了 ,并 且 已 经 
开发 和 调整 成 可 以 提供 高 事务 处 理性 能 。 并 且 在 分 布 式 环境 中 它 也 可 以 提供 这 种 性 能 。ACID 
属性 成 为 OLTP 环 境 的 一 个 特征 已 经 有 了 很 长 的 一 段 时 间 。 这 些 属 性 也 已 经 扩展 到 一 个 异 构 环 
境 中 的 多 个 平台 上 。 尽 管 ACID 属 性 在 本 地 数据 库 中 是 可 用 的 ， 但 是 一 般 它们 不 扩展 到 一 个 分 
布 式 的 、 异 构 的 环境 中 。 几乎 所 有 的 TP 监视 器 都 包含 能 够 管理 应 用 程序 访问 的 安全 机 制 。 许 
多 OLTP 实 现 还 支持 DCE 和 DCE 安 全 服务 。 这 种 支持 可 以 在 连 网 事务 中 提供 下 大 的 授权 、 认 让 
以 及 机 密 性 控制 。 


19.2.4 OLTP 与 数据 库 
数据 库 产 品 和 联机 事务 监视 器 都 试图 解决 同样 的 问题 ,但 二 者 采取 了 不 同 的 方法 。 如 果 


ee 
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要 在 OLTP 监 视 器 和 数据 库 解决 方案 之 间 做 出 选择 ， 那 么 这 要 取决 于 具体 问题 所 定义 的 具体 需 
求 。 看 起 来 ， 这 种 选择 也 是 由 这 两 种 方法 后 面 的 宗教 信件 所 驱动 的 。 对 于 每 个 事务 问题 来 说 ， 
可 能 没有 完美 的 选择 ， 但 是 有 一 些 考 虑 事项 是 需要 注意 。 表 19-2 给 出 了 TP 监视 器 和 分 布 式 数 
据 库 系统 在 解决 基于 事务 的 问题 方面 的 对 比 情况 。 


表 19-2 ”事务 处 理 监 视 器 同 分 布 式 数据 库 的 比较 





性 能 TP 监 视 器 DDBMS 
TP 环境 只 人 允许 事务 和 批 任 务 ， 不 能 进行 特别 查询 事务 、 批 任务 以 及 特别 查询 
客户 机 -服务 器 支持 调用 服务 、 对 话 远程 存储 过 程 调用 
分 布 化 使 用 应 用 服务 或 者 对 等 连接 使 用 数据 或 者 存储 过 程 访问 
异 构 访问 X/Open DTP 接 口 专 有 网 关 
资源 管理 范围 可 以 跨越 多 个 资源 管理 器 提交 资源 不 能 使 用 远程 资源 管理 器 来 提交 
可 伸缩 性 支持 同一 工作 负载 几乎 不 需要 资源 需要 另外 的 线性 资源 
性 能 能 够 操作 更 快 、 处 理 更 多 的 卷 在 重负 荷 下 性 能 很 差 
事务 管理 X/OPEN DTP 或 者 专 有 的 专 有 的 
用 户 数 量 大 数量 (>100 ) 小 数量 (<100 ) 
数据 位 置 保存 在 异 构 数 据 库 或 文件 中 保存 在 同 构 数 据 库 中 
分 布 范围 任意 多 个 服务 器 到 个 服务 器 或 者 更 少 
安全 性 需要 保护 业务 功能 足够 的 数据 安全 性 


所 有 的 数据 库 系 统 厂商 都 对 其 产品 的 事务 处 理 速度 〈 每 秒 或 者 每 分 ) 大 做 宣传 。 尽 管 这 
些 产品 在 一 个 本 地 环境 中 可 以 得 出 令 人 惊奇 的 成 绩 ， 但 是 如 果 把 事务 工作 单元 分 布 到 网 络 上 ， 
它们 就 没有 那么 好 的 表现 了 。 存 储 过 程 是 主要 的 数据 库 事务 机 制 ， 它 用 来 在 数据 库 中 启动 事 
务 ， 但 是 它 一 般 不 能 同 分 布 式 环境 中 的 其 他 其 他 事务 单元 一 起 使 用 。 数 据 库 只 能 提交 由 该 厂 
商 数据 库 所 管理 的 事务 资源 。 数 据 库 不 能 同步 或 者 提交 由 一 个 外 部 数据 库 〈 其 他 资源 管理 器 ) 
所 管理 的 工作 。 

数据 库 解决 方案 非常 适合 于 具有 大 量 用 户 的 本 地 环境 。 可 以 快速 开发 和 实现 应 用 程序 ， 
并 且 它们 很 容易 进行 管理 和 设置 。 有 关 数 据 库 技术 应 用 的 开发 软件 数不胜数 ， 并 且 关 于 数据 
库 技术 的 即时 可 用 的 打包 应 用 程序 也 不 胜 枚 举 。TP 监 视 器 通常 可 以 管理 任何 网 络 地 点 或 者 其 
他 应 用 中 所 调用 的 更 高 的 事务 卷 。 然 而 ，OLTP 应 用 程序 通常 更 加 复杂 并 难以 开发 。 


19.2.5 分 布 式 OLTP 


TP 监视 器 跟踪 在 单一 服务 器 内 执行 的 事务 。 在 分 布 式 环境 中 ,我 们 也 需要 跟踪 在 多 个 服 
务 器 上 执行 的 事务 。 为 达到 此 目的 ，TP 监 视 器 需要 具有 另外 的 机 制 以 管理 在 多 个 服务 器 上 执 
行 的 逻辑 工作 单元 。 这 包括 了 提交 和 回 滚 需求 。 在 第 9 章 中 ， 我 们 介绍 了 几 个 用 于 在 客户 机 和 
服务 器 之 间 共 享 工作 的 模型 。 在 TP 系 统 之 间 共 享 工作 使 用 的 也 是 这 些 基 本 模型 。 我 们 需要 定 
义 一 个 可 用 于 分 布 式 事务 系统 的 标准 结构 ， 目 前 ， 这 方面 的 一 些 工作 已 完成 。 

1. OSI 事务 处 理 标准 ， ， 

国际 标准 化 组 织 (ISO ) 已 经 定义 了 开放 式 系统 互联 (Open System Interconnection，OSI ) 
分 层 网 络 结构 标准 。 该 体系 结构 定义 了 一 些 协议 和 服务 ， 它 们 分 布 到 七 个 层次 中 。OSI 模 型 的 
层次 划分 用 于 许多 其 他 的 网 络 协议 和 服务 定义 ， 但 是 它 没有 定义 具体 的 协议 。 该 体系 结构 模 
型 要 比 包含 在 其 内 的 OSI 协议 更 常 使 用 。OSI 体 系 结构 也 包含 了 两 个 用 于 事务 处 理 系统 互 操作 
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的 标准 。OSI-TP (事务 处 理 ) 标准 说 明了 应 该 如 何 定义 和 管理 事务 标识 符 。 另 外 ， 它 也 包含 
了 一 套用 于 协调 逻辑 工作 单元 提交 和 回 滚 (在 事务 失败 的 情况 下 ) 的 机 制 。OSI-CCR ( 提交 、 

并 发 控制 和 人 恢复 ) 为 使 用 在 单一 会 话 上 的 工作 单元 提交 定义 了 协议 。 

2. X/OPEN 分 布 式 事务 处 理 

X/OPEN 是 一 个 由 多 个 致力 于 推进 开放 式 系统 发 展 的 公司 所 组 成 的 非 至 利 的 国际 联盟 。 在 
X/OPEN 术 语 中 ， 开 放 式 系统 的 定义 是 由 通常 可 用 的 产品 所 组 成 的 一 个 独立 于 厂商 的 计算 机 环 
境 ， 它 是 通过 使 用 已 接受 的 官方 标准 和 事实 标准 来 实现 的 。X/Open 的 分 布 式 事务 处 理 
( Distributed Transaction Processing ，DTP ) 模型 定义 了 一 套 应 用 编程 接口 (API ) 和 系统 级 接 
口 ， 使 用 这 些 接口 ， 应 用 程序 可 以 同 跨越 多 个 平台 的 不 同事 务 管理 器 进行 互 操作 。 虽 然 事务 
需要 洲 越 多 个 平台 台 ， 但 它 仍然 是 一 个 逻辑 事务 。 

图 19-4 描 述 了 X/OPEN 分 布 式 事务 处 理 模 型 以 及 资源 管理 器 之 间 的 API。 DTP 模 型 是 基于 
四 个 软件 组 件 的 : 

。 应 用 程序 ( AP ) 定义 了 事务 边界 和 构成 事务 的 过 程 。 

， 通信 资源 管理 器 负责 事务 在 多 个 应 用 程序 间 的 协调 。 

。 资源 管理 器 (RM ) 提供 了 对 共享 资源 的 访问 。 

。 砷 务 管理 器 (TM ) 协调 和 管理 事务 ， 并 在 出 现 失 败 的 情况 下 进行 恢复 。 DTP 标 准 使 用 

了 两 阶段 提交 一 一 有 关 详 情 ， 请 参考 第 9 章 。 


应 用 程序 (AP ) 


TxRPC 
TX - XATMI 
CPI-C 


Native 
(e.g., SQL) 


XA+ 
变 源 管理 问 事务 管理 器 
(RM ) (CTM ) 


图 19-4 X/OPEN 分 布 式 事务 处 理 


X/OPEN 分 布 式 事务 处 理 模型 为 管理 器 间 的 服务 通信 定义 了 API。 通 信 资 源 管理 器 包括 
了 三 个 接口 ， 这 三 个 接口 是 用 来 在 应 用 程序 之 间 进 行 通信 的 。 公 公共 编程 接口 通信 ( Common 
Programming Interface Communication ，CPIC ) 使 用 了 用 于 对 等 通信 的 SNA 规 范 LU 6.2。 
事务 RPC (transactional RPC，TxRPC ) 是 由 Encina TP 监视 器 使 用 的 机 制 。XATMI 规 范 是 
由 Tuxedo OLTP 系 统 使 用 的 。 通 信 管理 器 同 使 用 XA+ API 的 事务 管理 器 进行 通信 。 该 API 的 
作用 是 把 分 布 式 工作 单元 的 状态 通知 到 本 地 事务 管理 器 。 XA 接口 是 资源 管理 器 和 事务 管理 
器 之 间 的 接口 ， 其 作用 是 同步 资源 变化 。 TX 接口 是 事务 管理 器 和 应 用 程序 之 间 的 接口 ， 其 
作用 是 定义 工作 单元 的 开始 和 结束 。 如 果 遵 循 这 些 API 规 范 ， 事务 和 TP 监 视 器 就 可 以 相互 
操作 。 
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19.2.6 TP 监视 器 组 织 


前 面 我 们 讨论 了 X/Open 的 DTP 模 型 。 该 模型 定义 了 资源 管理 器 和 应 用 程序 之 间 的 责任 和 
接口 ， 其 目的 是 支持 分 布 式 事务 。 我 们 将 以 DTP 模 型 为 基础 来 描述 一 些 服 务 ， 这 些 服务 是 由 
一 般 OLTP 系 统 的 组 件 管理 器 所 提供 的 。 图 19-5 中 所 说 明 的 模型 包含 了 支持 分 布 式 事务 处 理 所 
需 的 一 些 组 件 。 这 是 一 个 逻辑 模型 ， 其 中 一 些 服务 可 以 由 位 于 具体 的 OLTP 系 统 之 外 的 组 件 来 
提供 。 : 





图 19-5 OLTP 模 型 . 


通信 管理 器 通常 是 从 用 户 或 者 从 另 一 个 互 连 系 统 处 接收 事务 的 第 一 个 管理 器 。 事 务 处 理 
系统 的 核心 是 事务 管理 器 。 该 管理 器 的 任务 是 接收 事务 请 求 和 监视 事务 执行 。 事 务 可 以 根据 
其 类 型 和 一 个 预定 义 的 类 别 来 进行 优先 级 安排 ， 另外 事务 到 达 时 间 也 是 一 个 考虑 因素 。 商 优 
先 级 的 事务 要 比 低 优先 级 的 事务 先 分 派 。 资 源 管理 器 同文 件 或 者 数据 库 进行 交互 ， 从 而 访问 . 
和 处 理事 务 所 要 求 的 数据 。 应 用 程序 通过 一 套 标准 API 来 同 管理 器 进行 交互 。 为 支持 事务 处 理 
系统 ， 模 型 还 提供 了 一 组 功能 来 提供 事务 日 志 、 管 理 以 及 安全 服务 。. 

1. 资源 和 通信 管理 器 

资源 管理 器 在 事务 的 执行 中 起 到 了 非常 重要 的 作用 。 通 信 管 理 器 规定 了 事务 处 理 系统 和 
用 户 或 者 另 一 个 互 连 系 统 之 间 的 互 操作 。 使 用 正确 的 协议 来 汇集 消息 ， 同 所 需 的 用 户 或 系统 
建立 通信 。 资 源 管理 器 处 理 数据 请 求 ， 因 而 需要 同文 件 系统 或 者 数据 库 进行 交互 。 两 阶段 提 
交 所 需要 的 功能 也 在 这 里 管理 。 如 果 事务 失败 或 者 系统 出 现 故障 ， 那 么 文件 和 数据 库 必 须要 
保持 一 致 状态 。 这 必须 扩展 到 互 连 的 系统 上 。 

2. 事务 服务 1 

OrTP 模 型 需要 具有 事务 管理 功能 来 配置 和 管理 事务 以 及 资源 管理 器 。 事 务必 须要 标识 成 
执行 的 多 个 过 程 所 组 成 的 一 个 集合 ， 并 且 为 了 执行 ， 事 务必 须要 分 配 适当 的 资源 。 其 他 事务 
服务 还 包括 跟踪 工具 一 一 其 作用 是 跟踪 事务 的 执行 并 帮助 进行 问题 确定 。 转 储 工具 能 够 提供 
应 用 程序 状态 和 相关 资源 的 快照 ， 这 些 信息 可 用 于 问题 分 析 。 另 外 ， 模 型 还 需要 安全 服务 来 
认证 用 户 并 确定 用 户 是 否 可 以 授权 执行 事务 。 
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19.2.7 TP 监视 器 


事务 系统 中 的 主要 开发 工作 是 在 分 布 式 处 理 这 一 方面 。 目 前 ， 大 型 机 系统 和 高 度 专 有 系 
统 提供 了 很 好 的 处 理性 能 。 为 了 在 替代 平台 上 提供 事务 处 理 能 力 ， 以 及 在 各 种 平台 间 提 供 分 
布 式 处 理 能 力 ， 已 经 开展 大 量 的 工作 。 在 各 种 类 型 以 及 各 个 档次 的 平台 上 进行 分 布 式 事务 处 
理 是 健壮 事务 处 理 系 统 的 一 个 目标 。 目 前 ， 有 几 个 商业 事务 监视 器 产品 可 用 来 进行 分 布 式 事 
务 处 理 。 下 面 ， 将 简要 介绍 几 个 流行 的 具有 分 布 式 事务 处 理 功 能 的 产品 。 

1. Encina “ 

Encina 产 品系 列 是 由 Transarc 开 发 的 ， 它 定位 于 解决 开放 式 、 分 布 式 OLTP 需 求 的 特殊 需 
要 。 在 这 里 ,“ 开 放 式 ” 的 定义 主要 指 的 是 UNIX 市 场 。Encina 利 用 了 OSF/DCE 所 提供 的 一 些 
功能 。Encina 提 供 了 一 个 全 功能 的 TP 监视 器 ， 并 为 在 IBM 和 HP 的 UNIX 平 台 上 实现 CICS 提 供 
了 许多 基础 服务 。 

Encina 的 体系 结构 是 建立 在 体系 结构 的 两 级 技术 基础 上 的 。 Encina 利 用 OSE/DCE 的 很 多 
组 件 来 进行 一 些 分 布 式 服 务 。 第 一 级 包含 了 把 DCE 环 境 扩展 成 支持 分 布 式 事务 支持 的 服务 ， 
第 二 级 包括 了 汇集 和 操作 分 布 式 事务 的 服务 和 资源 管理 器 。 

Encina 监 视 器 是 支持 分 布 式 事务 的 事务 处 理 引擎 ， 它 提供 了 负载 平衡 、 单 元 管理 以 及 分 
布 式 事务 调度 功能 。 访 问 该 事务 监视 器 的 客户 机 可 以 是 终端 、PC 或 者 UNIX 工 作 站 。 该 监视 
器 使 用 DCE 的 安全 服务 来 进行 认证 和 授权 ， 并 使 用 了 访问 控制 列表 ( ACL )。 为 配置 和 支持 分 
布 式 事务 ，Encina 监 视 器 也 提供 了 所 需 的 管理 功能 。 

2. CICS 

IBM 的 客户 信息 控制 系统 ( Customer Information Control System ， CICS ) 是 用 于 事务 处 
理应 用 的 事实 标准 ， 它 在 全 世界 有 超过 36 000 个 的 实现 。 财 富 百 强 公司 中 的 大 部 分 都 使 用 
CIcS 环 境 来 支持 某 种 类 型 的 事务 处 理 系统 。CICS 系 统 是 存在 时 间 最 久 的 事务 系统 之 一 ，: 它 是 
在 20 世 纪 60 年 代 后 期 设计 出 来 的 。CICS 的 基础 结构 开发 成 运行 在 IBM 大 型 机 操作 系统 上 。 

CICS 系 统管 理 内 存 分 配 、 处 理 器 上 的 工作 〈 事 务 ) 调度 、 文 件 访问 , 并 把 结果 传送 给 用 
户 而 不 是 实际 的 操作 系统 。IBM 提 供 了 一 些 管理 工具 来 辅助 CICS 系 统 的 配置 和 操作 。 执 行 在 
CICS 上 的 事务 受到 了 内 部 CICS 安 全 机 制 和 外 部 安全 监视 器 〈 如 果 可 用 的 话 ) 的 保护 。CICS 
的 内 部 安全 机 制 使 用 了 一 个 事务 级 和 资源 级 安全 。 用 户 登 录 可 以 用 来 建立 用 户 ID 和 事务 和 资 
源 安全 级 别 ， 但 是 用 户 登 录 并 不 是 必须 要 求 的 。 事 务 安全 级 ( Transaction Security Level， 
TSL ) 和 资源 安全 级 ( Resource Security Level, RSL ) 密 钥 列表 是 同一 个 用 户 定 义 相关 的 。 
这 些 列表 的 作用 是 控制 执行 事务 和 访问 资源 的 能 力 。 如 果 事 务 或 者 资源 的 密 钢 
或 者 TSL 中 的 一 个 密 钥 相 匹配 ， 那 么 操作 就 可 以 继续 进行 。 

IBM 和 HP 都 提供 了 一 个 运行 在 UNIX 操 作 系统 上 的 全 功能 CICS 系 统 操作 。 UNIX 上 CICS 
实现 实际 上 是 几 个 分 布 式 计算 功能 的 组 合 ， 这 些 功能 提供 了 互相 补充 的 服务 。CICS 监 视 器 运 
行 在 Encina 提 供 的 服务 之 上 ， 并 取代 了 Encina 监 视 器 。 在 CICS 范 围 之 外 的 是 PCE 提 供 的 分 布 
式 元 素 。 CICS 设 计 所 基于 的 大 型 机 原则 并 不 适合 于 UNIX 环 境 。 大 型 机 环境 适合 执 生 才 估 于 
程序 ， 而 UNIX 环 境 则 定位 于 执行 登录 用 户 的 命令 。 

3. Tuxedo 

Tuxede 产 品 是 一 个 更 为 成 熟 的 UNIX 平 台 OLTP 产 品 。 它 是 由 AT&T 在 1983 年 引入 的 ， 曾经 
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有 一 段 时 间 归 Novell 所 拥有 ， 现 在 是 BEA 系 统 公司 的 产品 。Tuxedo 是 最 早 为 分 布 式 系 统 提供 
TP 监视 器 的 产品 之 一 。 该 产品 分 为 三 个 级 别 ，PC 或 者 工作 站 、UNIX 系 统 以 及 大 型 机 。 如 果 
同 CICS 系 统一 道 安 装 了 用 于 Tuxedo 的 附加 大 型 机 软件 ，Tuxedo 能 够 同 CICS 进 行 互 连 。 
Tuxedo 下 进程 间 的 通信 是 使 用 软件 桥 来 实现 的 ， 软 件 桥 在 不 同 机 器 上 的 进程 间 转 发 消息 。 
Tuxedo 支 持 依靠 数据 的 路 由 ， 即 根据 消息 的 内 容 把 消息 正确 地 路 由 到 合适 的 服务 器 节点 上 ， 
同时 不 需要 应 用 程序 编码 。 这 种 路 由 标准 是 在 配置 表 中 定义 和 管理 的 。 

4. Top End 

Top End 是 由 NCR 开 发 的 一 个 事务 处 理 产品 ， 它 是 在 1990 年 进入 市 场 的 。Top End 支 持 多 
个 API， 其 中 包括 一 套用 于 CICS 的 和 一 套用 于 Tuxedo 的 。Top End 已 经 移植 到 了 IBM、HP、 
Sun 的 平台 上 ， 并 且 也 可 用 于 AT&T 支 持 的 平台 上 。Top End 是 一 个 运行 在 UNIX 平 台 上 的 消息 
传递 产品 ，DOS、Windows、OS/2 或 者 Windows NT 都 可 以 用 做 客户 机 。 该 产品 也 提供 了 工作 
负载 平衡 能 力 。 消 息 的 路 由 也 可 以 建立 在 消息 内 容 的 基础 上 。Top End 支 持 两 种 应 用 风格 ， 标 
准 应 用 程序 模型 和 管理 服务 器 模型 。 在 标准 应 用 程序 模型 中 ， 应 用 程序 完全 由 其 自己 的 事件 
来 管理 ， 并 且 应 用 程序 管理 着 整个 事务 处 理 。 管 理 服务 器 模型 同 Encina 或 者 CICS 产 品类 似 ， 
在 这 种 模型 下 ，Top End 系 统 代 表 应 用 程序 来 维护 控制 。Top End 产 品 的 主要 用 途 是 支持 分 布 
式 决策 支持 系统 ， 这 同一 般 的 分 布 式 事务 处 理 系统 完全 一 样 。 


19.2.8 应 用 程序 设计 


设计 基于 事务 的 应 用 程序 与 设计 一 般 的 批 处 理 或 者 命令 驱动 的 程序 有 一 些 不 同 之 处 。 在 
这 种 应 用 程序 中 ， 多 个 事务 可 能 会 同时 执行 共享 资源 。 设 计 事务 应 用 程序 的 原则 是 ， 持 有 资 
源 的 时 间 应 该 尽 可 能 地 短 。 前 面 我 们 已 经 讨论 了 逻辑 工作 单元 。 事 务 应 用 程序 应 该 设计 成 把 
所 需 的 功能 都 组 织 到 工作 单元 上 。 文 件 或 者 数据 更 新 需要 持 有 一 段 时 间 的 互 斥 锁 。 其 时 间 越 
短 ， 其 他 事务 的 访问 就 越 顺利 。 例 如 ， 一 个 事务 应 用 程序 要 读 一 个 数据 记录 以 进行 更 新 ， 如 
果 在 事务 启动 时 锁 住 该 记录 并 直到 事务 结束 时 才 释 放 该 记录 ， 那 么 这 种 做 法 不 是 一 个 好 的 设 
计 形式 。 在 这 种 情况 下 ， 所 有 其 他 的 事务 都 必须 要 等 待 直至 第 一 个 事务 完成 为 止 。 事 务 应 用 
程序 必须 是 一 个 能 够 尽 可 能 快 、 并 使 用 最 少 的 资源 来 完成 的 一 个 程序 。 


事务 处 理 同 高 速 公 路 交通 非常 相似 。 假 设 在 一 个 紫 忙 的 高 速 公 路 上 ， 有 一 边 出 现 了 
一 个 交通 事故 ， 那 么 所 有 的 车 辆 都 会 受到 影响 。 当 另 一 边 的 一 辆 汽车 减速 看 热闹 的 时 候 ， 
其 后 面 的 车 辆 都 必须 要 刹车 。 很 快 ， 事故 发 生 点 后 面 的 车 辆 会 排 起 一 条 长 龙 。 











19.2.9 面向 对 象 的 事务 


面向 对 象 技术 已 经 进入 了 联机 事务 处 理 领 域 。 事务 处 理 正在 同 分 布 式 对 象 进行 融合 。 对 
象 管理 组 织 ( Object Management Group ，OMG ) 已 经 在 CORBA 2.0 规 范 中 采用 了 对 象 事务 最 
务 (Object Transaction Service, OTS ) 接口 来 处 理 分 布 式 对 象 。OTS 人 允许 跨越 多 个 对 象 请 求 
代理 的 分 布 式 对 象 参与 一 个 ACID 事务 。 这 种 服务 为 对 象 事务 和 过 程 事务 提供 了 互 操作 能 力 
一 一 如 果 它 们 遵循 X/OPEN DLP 标准 的 话 。 OTS 为 组 成 事务 单元 的 对 象 定义 了 接口 定义 语言 
( Interface Definition Language，IDL ) 接口 。 对 象 和 分 布 式 事务 的 联姻 是 对 面向 对 象 处 理 的 一 
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个 自然 扩展 。 
“19.3 五 大 列表 


分 布 式 事务 可 以 有 许多 不 同 的 方法 ， 并 且 使 用 了 许多 不 同 的 技术 来 解决 问题 。 当 评价 可 
能 的 解决 方案 的 时 候 ， 总 是 需要 考虑 很 多 方面 进行 很 多 权衡 。 下 面 这 个 列表 是 组 织 在 考虑 分 
布 式 事务 处 理 时 应 该 考虑 的 前 5 个 方面 : 

认证 和 授权 。 在 分 布 式 事务 处 理 环境 中 ， 主 要 的 考虑 之 一 是 确定 需要 什么 样 的 认证 和 授 
权 机 制 以 及 需要 在 什么 地 方 调用 它们 。 如 果 使 用 了 一 个 公共 的 安全 机 制 ， 例 如 DCE 提 供 的 机 
制 ， 那 么 问题 就 基本 上 解决 了 。 如 果 没 有 使 用 公共 机 制 ， 那 么 你 必须 要 考虑 需要 认证 和 授权 
的 所 有 地 方 。 接 下 来 ， 你 必须 确定 需要 什么 类 型 的 认证 以 及 用 于 授权 的 标识 符 。 在 执行 事务 
的 第 一 个 位 置 ， 和 需要 进行 认证 以 保证 事务 的 可 信 性 吗 ? 执行 认证 的 每 个 分 布 位 置 都 需要 进行 
认证 吗 ? 标识 会 从 事务 处 理 系统 的 一 个 部 分 传递 到 另 一 个 部 分 吗 ? | 

资源 。 事 务 系统 所 消耗 的 资源 ( 内 存 和 处 理 能 力 ) 是 难以 预算 的 ， 它 取决 于 同时 到 达 的 
事务 数量 以 及 完成 一 个 事务 所 需要 的 时 间 。 如 果 你 准确 地 知道 在 给 定 的 时 间 段 内 要 处 理 多 少 
个 事务 以 及 在 任意 时 刻 需要 处 理 的 事务 量 ， 那 么 制定 准确 的 资源 计划 就 是 有 可 能 的 。 当 计划 
一 个 事务 处 理 系统 需要 多 少 资源 时 ， 可 以 使 用 如 下 三 条 原则 : 

。 原则 1 一 一 永远 也 没有 足够 的 资源 。 

。 原 则 2 一 一 你 的 资源 预算 太 低 。 

。 原则 3 一 一 参考 原则 1。 

回 滚 /恢复 /重启 动 。 只 要 事务 分 布 到 多 个 系统 上 ， 事务 处 理 系统 就 必须 实现 这 样 的 机 制 ， 
在 事务 失败 的 时 候 回 滚 处 理 ; 在 系统 出 现 故障 的 时 候 恢复 和 重启 动 处 理 。 这 些 功能 应 该 构建 
于 事务 监视 器 中 。 事 务 处 理 的 设计 会 受到 恢复 和 回 滚 需求 的 影响 吗 ? 也许 你 可 以 把 事务 分 害 
到 多 个 逻辑 工作 单元 中 ， 这 样 可 以 更 容易 进行 恢复 。 

事务 调整 。 除 了 早期 事务 处 理应 用 编程 所 使 用 的 技巧 以 外 ， 事 务 应 应 用 程序 调整 也 是 必 不 
可 少 的 环节 。 事务 信息 的 性 能 和 利用 必须 要 得 到 重点 关注 。 调 整 事务 系统 的 一 个 简单 办 法 是 
花 钱 购买 更 多 的 资源 。 事 务 调整 就 如 同 走 迷 宫 一 样 ， 你 必须 要 找到 正确 的 出 口 。 你 需要 有 好 
的 检查 和 分 析 工 具 ， 它们 可 以 确定 在 基于 事务 的 系统 中 会 发 生 什么 。 当 事务 分 布 在 多 个 系 从， 
上 时 ， 问 题 更 加 复杂 。 你 必须 要 知道 该 怎么 走 ! 

管理 。 分 布 式 事务 的 管理 是 系统 管理 领域 中 的 一 个 挑战 点 。 为 对 付 该 挑战 ; 需要 有 特殊 
的 工具 来 控制 和 管理 环境 ， 并 且 需 要 有 覆盖 分 布 式 环境 中 所 有 系统 的 工具 。 当 系统 拥塞 时 ， 
或 者 当 一 个 不 可 用 的 资源 正 妨 碍 系统 完成 时 ， 必 须要 采取 某 些 动作 来 做 出 响应 : 鳌 视 器 或 者 
平台 应 该 能 够 自动 平衡 多 个 事务 监视 器 执行 实例 上 的 负载 平衡 。 分 布 式 处 理 系 统 的 管理 需要 
有 可 靠 的 决策 。 一 个 实时 监视 工具 能 够 帮助 确定 系统 中 正 发 生 的 情况 以 及 在 发 现 问 题 后 应 该 
采取 的 措施 。 





19.4 小 结 
orTp 训 制 的 使 用 可 以 在 分 布 式 环境 中 提供 一个 强大 的 、 健 壮 的 事务 环境 。 这 可 能 是 高 着 
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环境 或 者 异 构 环 境 中 的 惟一 选择 。 对 象 技术 的 发 展 为 事务 和 事务 处 理 带 来 了 新 变化 。 大 型 机 
系统 上 的 联机 事务 处 理 利用 了 成 熟 的 、 可 靠 的 产品 ， 而 用 于 分 布 式 环境 的 事务 处 理 系统 还 是 
市 场 上 的 新 生物 。 

随 着 分 布 式 环境 的 成 熟 ， 事 务 处 理 能 力也 会 提高 。 关 键 是 要 使 用 一 个 基于 标准 的 分 布 式 
处 理 基础 结构 。 具 有 事务 能 力 的 数据 库 系统 是 OLTP 系 统 的 竞争 对 手 ， 它 的 使 用 要 多 于 OLTP 
系统 的 使 用 。 从 这 一 点 上 我 们 可 以 看 出 建立 在 工业 标准 上 的 解决 方案 要 比 基 于 专 有 系统 的 产 
品 更 具有 用 处 。 连 接 和 管理 这 些 系统 的 能 力也 在 逐渐 成 熟 。 而 分 布 式 的 面向 对 象 事务 也 表现 
出 了 惊人 的 发 展 前 景 。 
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第 20 章 安全 应 用 程序 第 23 章 ”开发 安全 策略 
第 21 章 实现 示例 第 24 章 审计 


第 22 章 安全 管理 





在 前 面 的 章节 中 ， 我 们 已 经 讨论 了 分 布 式 计算 环境 中 的 安全 性 挑战 。 已 经 看 到 问题 的 规 
模 和 复杂 程度 。 我 们 也 已 经 探讨 了 依照 策略 、 指 导 原则 以 及 体系 结构 的 形式 来 构建 正确 基础 
的 必要 性 ， 并 且 还 探讨 了 分 布 式 计算 中 的 许多 关键 技术 。 可 以 看 到 ， 技 术 不 仅仅 为 计算 安全 
性 问题 提供 了 解决 方案 ,而 且 还 加 大 了 问题 的 难度 。 在 后 面 的 章节 中 ， 我 们 将 要 讨论 用 来 解 
决 这 些 问题 的 措施 。 

在 第 20 章 中 ， 我 们 将 点 明 这 条 根本 原则 ， 必 须要 一 开始 就 将 安全 性 设计 到 应 用 程序 中 。 
如 果 要 为 已 经 设计 并 实现 了 的 客户 机 -服务 器 应 用 程序 重新 添加 安全 性 ， 那 么 即使 不 是 不 可 能 
的 ， 也 是 非常 困难 的 。 我 们 还 要 探讨 面向 对 象 技术 的 应 用 以 及 该 技术 所 带 来 的 许多 安全 性 问 
题 。 在 第 21 章 中 ， 我 们 要 探讨 一 下 如 何 把 安全 性 部 署 到 基础 结构 应 用 程序 中 。 特 别 要 看 一 下 
安全 性 在 电子 邮件 和 工作 组 计算 中 的 应 用 。 

安全 管理 是 第 22 章 的 重点 所 在 。 在 这 一 章 中 ， 我 们 要 探讨 一 下 集中 式 安全 技术 的 作用 ， 
并 对 安全 管理 的 各 个 方面 展开 分 析 。 很 多 人 都 使 用 电子 设备 来 加 强 自 己 家 的 安全 保护 。 电 子 
防护 设备 可 以 为 我 们 提供 安全 消息 ， 比 如 电子 报警 系统 ， 使 用 它 我 们 信任 自己 的 家 是 安全 的 。 
其 后 面 的 一 些 原因 是 ; 

。 当 被 触发 时 ， 它 们 能 够 自动 发 出 警报 声音 ， 而 不 管 我 们 是 否 在 家 。 

。 非 法 人 侵 警 报 可 以 从 许多 人 口 处 探查 到 。 

。 它 们 可 以 召集 其 他 人 进行 援助 。 

。 同 窃贼 带 来 的 潜在 损失 比 起 来 ， 它 们 便宜 得 多 。 

。 相 对 来 说 ， 它 们 的 使 用 和 实现 是 很 容易 的 。 

同 在 家 中 使 用 自动 报警 器 一 样 ， 分 布 式 计算 环境 也 需要 有 类 似 的 东西 。 当 有 人 非法 人 侵 
我 们 的 网 络 或 者 计算 机 系统 时 ， 如 果 有 一 个 自动 报警 器 来 通知 我 们 ， 那 么 这 会 极 大 地 提高 计 
算 环 境 的 整体 安全 性 。 一 旦 收 到 了 安全 警报 ， 安 全 人 员 就 可 以 来 处 理 情况 。 


796 第 四 部 分 解决 问题 


第 23 章 将 为 读者 提供 一 个 方法 学 ， 我 们 要 用 其 中 的 方法 来 解决 全 部 计算 安全 问题 。 安 全 “ 
策略 提供 了 一 个 分 析 安 全 措施 的 方法 一 一 这 些 措 施 会 移动 到 ( 或 者 在 某 些 情况 下 仅仅 维护 ) 
组 织 的 适当 安全 级 别 。 | 

在 第 24 章 中 ， 将 探讨 审计 的 重要 性 。 审 计 可 以 保证 组 织 对 标准 和 指导 原则 的 遵循 和 实施 
情况 。 不 幸 的 是 ， 在 许多 组 织 中 ， 内 部 审计 部 门 和 信息 科技 部 门 之 间 往 往 存在 着 一 种 对 抗 情 
绪 。 我 们 会 分 析 该 问题 的 原因 ， 并 对 二 者 之 间 应 该 具有 的 良好 关系 给 出 建议 。 

最 后 一 章 的 内 容 是 对 前 景 的 一 些 对 立 看 法 。 我 们 知道 ， 计 算 安 全 问题 会 在 将 来 解决 ， 有 
许多 原因 可 以 使 我 们 相信 此 点 。 改 进 的 技术 、 管 理 承诺 、 加 密 技术 的 使 用 以 及 其 他 许多 因素 
都 有 助 于 整体 解决 方案 的 出 现 。 另 一 方面 ， 我 们 也 相信 和 问题 本 身 也 会 有 变化 ， 并 且 会 变 得 更 
如 复杂 和 棘手 。 





第 20 章 安全 应 用 程序 





系统 开发 生命 周期 
因素 的 复杂 化 
基于 角色 和 基于 规则 的 安全 性 
GSSAPI 


小 结 





在 设计 和 开发 分 布 式 计算 应 用 时 ， 必 须要 对 安全 性 进行 详细 地 考虑 。 大 型 机 环境 具有 自 
己 的 集中 式 安全 机 制 ， 它 允许 应 用 程序 设计 人 员 把 重点 放 在 应 用 程序 本 身 的 安全 需求 上 。 而 
在 分 布 式 系统 中 ， 应 用 程序 的 安全 问题 就 复杂 多 了 。 分 布 式 应 用 程序 的 开发 人 员 不 仅仅 要 为 
应 用 程序 设计 具体 的 安全 机 制 ， 而 且 还 要 解决 分 布 式 环境 的 安全 问题 。 客 户 机 -服务 器 计算 的 
出 现 已 经 促进 了 计算 资源 在 物理 上 的 分 离 ， 但 同时 也 带 来 了 另外 的 安全 风险 。 

网 络 也 为 安全 应 用 程序 的 实现 带 来 了 一 些 特殊 挑战 。 如 果 在 分 布 式 应 用 程序 的 设计 完成 
以 后 再 为 其 添加 安全 人 性， 那么 这 不 但 很 困难 而 且 成 本 也 不 非 。 在 本 章 中 ， 我 们 会 看 到 安全 性 
在 应 用 程序 开发 的 每 个 阶段 都 是 非常 重要 的 考虑 事项 一 一 从 开始 需求 定义 一 直到 开发 和 部 署 
阶段 。 我 们 对 设计 安全 应 用 程序 的 讨论 将 首先 从 几 个 关键 概念 开始 。 


20.1 概念 


术语 “可 信 计 算 基础 ”( Trusted Computing Base，TCB ) 是 用 来 描述 一 个 计算 系统 内 的 总 
体 安全 保护 机 制 的 。 这 个 概念 对 于 分 布 式 应 用 程序 的 设计 来 说 是 非常 重要 的 ， 其 原因 在 于 它 
让 我 们 把 注意 力 放 在 评估 计算 环境 的 安全 性 上 ， 而 不 仅仅 是 应 用 程序 本 身 。TCB 要 求 设计 人 
员 必 须要 注意 应 用 程序 的 非 传统 方面 的 安全 性 ， 如 操作 系统 的 安全 性 。 在 某 种 意义 上 ， 它 把 
应 用 程序 设计 的 范围 扩展 成 包括 操作 系统 和 网 络 组件 。 为 了 掌握 操作 系统 的 整体 安全 性 和 确 
定 应 用 程序 功能 的 可 靠 性 ，TCB 的 概念 是 非常 重要 的 。 例 如 ， 对 于 一 个 UNIX 应 用 程序 来 说 ， 
设计 人 员 可 能 需要 考虑 很 多 附加 的 安全 机 制 ， 以 便 对 付 特洛伊 木马 以 及 第 11 章 中 所 介绍 的 其 
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他 攻击 方式 。 

分 布 式 应 用 程序 中 的 另 一 个 重要 概念 是 安全 域 。 安 全 域 定义 为 人 或 者 处 理 程序 可 以 访问 
的 信息 或 应 用 程序 集合 ， 其 中 这 些 访问 受到 公共 安全 策略 的 控制 。 在 一 个 分 布 式 处 理 系统 中 
可 以 有 一 个 或 几 个 已 定义 的 域 。 在 系统 的 设计 阶段 ， 确 定 或 者 明确 这 些 安全 域 是 非常 重要 的 。 
安全 域 之 间 的 互 操作 性 是 由 覆盖 整个 域 的 安全 技术 、 策 略 以 及 标准 确定 的 。 我 们 需要 知道 是 
否 存 在 独立 的 安全 域 以 及 操作 和 安全 化 域 间 的 访问 需要 做 些 什么 。 


20.2 系统 开发 生命 周期 


许多 组 织 已 经 采用 了 一 个 正式 的 方法 或 者 途径 来 开发 计算 应 用 程序 ， 这 种 方法 称 做 是 
系统 开发 生命 周期 ( System Development Life Cycle，SDLC )。SDLC 定 义 了 管理 计算 系统 
开发 项 目 所 需 的 一 些 过 程 和 转折 点 ， 从 项 目 开 发 的 第 一 个 概念 到 实现 再 到 应 用 程序 的 操作 
都 受 其 控制 。 这 种 形式 化 的 过 程 有 时 候 是 根据 经 验 形成 的 ， 从 出 版 的 资料 中 吸取 而 来 ， 或 
者 在 某 种 情况 下 是 取决 于 开发 技术 的 。 在 任何 情况 下 ， 使 用 生命 周期 过 程 都 必须 要 考虑 安 
全 性 问题 。 

实现 计算 机 应 用 程序 可 以 有 许多 不 同 的 途径 。 应 用 开发 的 经 典 方法 有 6 个 主要 部 分 : 初始 
需求 定义 、 分 析 和 设计 、 应 用 软件 的 开发 、 测 试 、 实 现 以 及 应 用 程序 的 操作 和 维护 。 

图 20-1 概 括 说 明了 系统 开发 周期 过 程 。 
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图 20-1 经 典 的 软件 开发 生命 周期 


另外 还 有 其 他 一 些 开 发 方法 ， 如 快速 应 用 开发 (Rapid Application Development， RAD ) 
试图 通过 使 用 高 级 软件 开发 和 原型 工具 来 减少 配置 时 间 。RAD 主 要 着 眼 于 缩短 开发 阶段 ， 它 
人 允许 用 户 积极 参与 项 目 开 发 的 所 有 阶段 。 然 而 ， 不 管 使 用 什么 方法 或 技术 ， SDLC 的 基本 概念 
仍然 是 有 效 的 。 
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20.2.1 需求 阶段 


需求 阶段 的 目标 是 收集 和 文档 化 应 用 程序 所 涉及 到 的 业务 需求 。 这 包括 调整 应 用 需求 使 
其 符合 组 织 的 业务 目标 ， 并 明确 用 户 部 门 的 需要 。 本 阶段 也 要 明确 应 用 程序 的 整体 性 能 需求 
和 成 本 目标 。 我 们 认为 应 用 程序 的 安全 性 目标 也 是 必须 概括 出 来 。 很 多 安全 目标 可 以 从 公司 
的 安全 原则 和 策略 中 获得 ， 详 细 情 况 参 见 第 4 和 第 6 章 。 

安全 和 审计 部 门 的 积极 参与 是 非常 重要 的 ， 我 们 强烈 推荐 这 么 做 ， 特 别 是 在 大 型 的 或 者 
关键 任务 的 应 用 程序 开发 中 更 应 如 此 。 安 全 和 审计 部 门 的 作用 是 保证 应 用 程序 会 满足 公司 的 
安全 和 审计 目标 。 在 应 用 程序 开发 过 程 中 ， 审 计 和 安全 部 门 应 该 尽 可 能 早 地 涉 入 ， 这 样 做 有 
很 多 好 处 。 第 一， 应 用 程序 是 否 满足 公司 的 策略 和 安全 原则 ， 这 是 由 审计 和 安全 部 门 来 最 终 
判定 的 。 所 以 开发 人 员 应 该 尽 可 能 早 地 征询 他 们 的 意见 。 第 二 ， 保 证 应 用 程序 的 安全 可 能 会 
影响 应 用 程序 的 开发 进度 和 成 本 。 最 后 ， 如 果 在 项 目 早期 没有 解决 好 安全 需求 ， 那 么 问题 就 
会 一 直 拖延 下 去 。 许 多 组 织 都 在 应 用 程序 开发 完毕 ， 其 至 是 在 部 署 了 应 用 程序 以 后 ， 才 发 现 
了 安全 需求 根本 没有 被 满足 。 在 这 种 情况 下 ， 重 新 为 应 用 程序 添加 安全 性 不 仅 非常 困难 ， 而 
且 成 本 不 非 。 惟 一 的 工作 就 是 战 战 芍 兢 地 向 管理 人 员 要 钱 ， 并 且 一 次 又 一 次 。 

整体 安全 需求 可 能 包括 如 下 需求 : 确定 用 户 的 标识 〈 认证 )、 保 护 公司 或 者 个 人 信息 免 遭 
未 经 授权 的 泄漏 (机 密 性 ) 以 及 记录 用 户 动 作 〈 审计 跟踪 )。 如 果 存 在 的 话 ， 公 司 计算 策略 和 
原则 将 是 整个 安全 需求 的 最 好 来 源 。 


20.2.2 设计 和 分 析 


在 设计 和 分 析 阶 段 ， 开 发 人 员 要 根据 成 本 和 时 间 约 束 来 分 析 应 用 程序 的 需求 ， 即 在 应 用 
程序 的 总 体 需 求 和 所 花费 的 最 小 成 本 之 间 取 得 一 个 平衡 。 在 系统 设计 阶段 解决 应 用 程序 的 安 
全 需求 ， 效 率 更 高 并 且 成 本 更 低 。 如 果 要 在 这 步 以 后 才 添加 安全 性 ， 那 么 通常 不 但 难以 实现 
和 维护 ， 而 且 成 本 也 很 大 。 这 一 阶段 是 安全 原则 、 策 略 以 及 体系 结构 的 切 人 点 。 我 们 可 以 把 
这 些 元 素 用 做 核对 安全 需求 的 参考 蓝图 。 它 们 可 以 帮助 我 们 决定 需要 包括 的 内 容 和 函数 的 位 
置 。 设 计 阶段 也 需要 考虑 提供 审计 信息 。 最 后 ， 考 虑 也 必须 经 过 选择 的 安全 机 制 的 性 能 。 

风险 分 析 是 设计 和 分 析 阶 段 的 一 个 预备 行动 。 该 过 程 着 眼 于 在 安全 暴露 的 预期 后 果 和 其 
发 生 的 可 能 性 之 间 取得 一 个 平衡 。 这 使 得 应 用 程序 设计 团队 必须 要 将 注意 力 放 在 那些 具有 高 
风险 的 安全 问题 上 ， 这 些 问 题 可 能 会 为 组 织造 成 重大 损失 和 危害 。 例 如 ， 如 果 可 以 拨号 访问 
一 个 应 用 程序 ， 那 么 攻击 者 通过 窃听 线路 来 探寻 密码 的 可 能 性 有 多 大 呢 ? 如 果 攻 击 者 窃取 了 
密码 ， 他 就 可 以 非法 访问 该 应 用 程序 ， 那 么 后 果 会 怎样 ? 

风险 分 析 完 成 以 后 ， 应 用 程序 设计 团队 就 可 以 开始 解决 前 一 阶段 中 定义 的 安全 需求 了 。 
同样 ， 这 一 过 程 也 是 一 个 需要 找到 某 种 平衡 的 过 程 。 例 如 ， 如 果 机 密 员工 信息 保存 在 一 台 膝 
上 机 上 ， 那么 应 该 采取 什么 控制 措施 来 保护 这 些 数据 ? 应 该 使 用 软件 来 提供 访问 控制 《如 用 
户 ID 和 密码 ) 以 保护 这 台 膝 上 机 吗 ? 数据 需要 加 密 吗 ? 如 果 需 要 ， 应 该 选用 什么 类 型 加 密 算 
法 ?什么 强度 的 密 钥 ? 应 该 使 用 硬件 设备 来 保护 加 密 算法 及 其 密 钥 吗 ? 进行 风险 分 析 有 助 于 
回答 这 些 问 题 。 如 性 能 和 成 本 之 类 的 约束 肯定 会 极 大 地 影响 设计 选择 。 

在 客户 机 -服务 器 应 用 程序 中 ， 设 计 人 员 必 须要 解决 如 下 问题 : 安全 环境 应 该 如 何 综合 ? 
个 人 计算 机 上 需要 施加 控制 来 预防 对 该 机 器 的 未 经 授权 的 访问 吗 ? 应 该 使 用 加 密 来 保护 个 人 
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机 器 上 保存 的 数据 吗 ? 如 果 个 人 计算 机 上 使 用 了 加 密 ， 那 么 需要 使 用 附加 的 硬件 ( 如 智能 卡 ) 
来 保护 加 密 算法 及 其 密 钥 吗 ? 客户 机 和 服务 器 之 间 的 网 络 有 多 可 信 ? 网 络 流量 需要 加 密 吗 ? 
是 加 密 全 部 流量 还 是 只 加 密 选 择 过 的 数据 字段 ? 服务 器 上 需要 有 另外 的 操作 系统 或 者 数据 库 
控制 吗 ? 需要 什么 样 的 审计 跟踪 ， 应 该 保存 在 什么 地 方 ? 公司 计算 策略 和 原则 可 以 提供 这 些 
问题 的 答案 。 审 计 和 安全 部 门 的 积极 参与 也 是 值得 推荐 的 。 我 们 知道 ， 回 答 每 一 个 可 能 的 安 
全 问题 和 暴露 是 不 可 能 的 。 最 好 的 方法 就 是 使 用 可 用 的 资源 来 补偿 暴露 带 来 的 损失 ， 并 让 管 
理 人 员 来 决定 是 否 要 批准 另外 的 资源 。 


20.2.3 ”应 用 开发 和 测试 


在 部 署 一 个 应 用 程序 之 前 ， 一 定 要 严格 测试 其 安全 控制 。 测 试 目标 包括 中 间 件 、 操 作 
系统 、 数 据 库 以 及 网 络 控制 。 测 试 的 目标 称 做 风险 评估 。 对 应 用 程序 、 数 据 库 或 者 操作 系 
统 的 未 经 授权 的 访问 是 否 被 允许， 是 由 风险 评估 来 决定 。 如 果 可 能 的 话 ， 测 试 人 员 不 应 该 
是 开发 团队 中 的 成 员 。 如 果 测 试 人 员 同 开发 人 员 毫 无 联系 的 话 ， 他 就 不 会 对 需要 测试 的 环 
境 做 什么 假设 ， 因 而 更 有 可 能 发 现 开发 团队 没有 注意 到 的 安全 问题 。 敏 感 的 应 用 程序 还 需 
要 有 关 人 员 对 实际 应 用 代码 进行 结构 化 遍历 。 代 码 遍 历 可 以 用 来 检查 应 用 程序 远 和 设计 人 
员 所 忽视 的 问题 。 

也 应 该 评审 测试 数据 的 使 用 。 测 试 环境 和 生产 环境 必须 要 分 离开 。 测 试 数据 绝对 不 能 进 
入 生产 环境 。 应 用 程序 员 和 开发 人 员 也 绝对 不 可 以 通过 测试 行为 来 访问 正常 情况 下 他 们 不 能 
访问 的 敏感 信息 。 


20.2.4 实现 


应 用 程序 开发 的 安全 考虑 可 以 分 为 几 类 。 第 一 个 是 应 用 程序 本 身 的 保护 ， 第 二 个 是 安全 
功能 在 应 用 程序 中 的 实现 ， 第 三 个 涉及 到 了 测试 和 生产 环境 ， 最 后 一 个 同 应 用 程序 的 维护 相 
关 。 应 用 程序 的 保护 可 能 是 最 容易 解决 的 。 那 些 具有 已 定义 需要 的 人 可 以 访问 应 用 程序 。 

一 般 来 说 ， 把 具体 的 安全 功能 结合 到 应 用 程序 中 不 是 一 个 好 方法 ， 除 非 没 有 其 他 可 用 的 
替代 方案 。 具 体 的 密码 或 者 其 他 认证 服务 不 应 该 编码 到 应 用 程序 中 。 应 用 程序 不 允许 在 一 个 
特权 状态 下 运行 。 如 果 出 现 了 错误 或 者 bug， 那 么 用 户 不 应 该 被 留 在 一 个 特权 状态 下 ， 否 则 他 
就 可 以 对 应 用 程序 或 工具 进行 未 经 授权 的 访问 。 应 用 程序 的 运行 应 该 遵循 最 小 特权 原则 ， 这 
样 ， 才 会 给 用 户 只 有 那些 绝对 需要 的 特权 级 。 

应 用 程序 测试 环境 和 产品 环境 应 该 是 分 离 的 。 测 试 应 该 在 不 会 改变 或 者 影响 产品 系统 的 
前 提 下 进行 。 无 论 什 么 情况 ， 实 际 的 产品 数据 绝对 不 可 用 于 应 用 程序 测试 。 否 则 ， 产 品 数据 
的 完整 性 可 能 非常 危险 。 一 旦 系统 通过 了 测试 ， 开 发 人 员 应 该 调用 一 个 形式 化 的 改变 过 程 ， 
从 而 把 该 系统 实现 到 产品 中 。 应 用 程序 开发 、 测 试 、 实 现 以 及 操作 中 所 牵扯 到 的 责任 需要 分 
离开 ， 这 是 一 个 重要 原则 ,但 它 不 会 正常 应 用 。 从 根本 上 来 讲 ， 这 一 原则 说 明了 谁 也 不 可 以 
改变 应 用 程序 并 把 变化 实现 到 产品 中 。 这 些 责任 应 该 明确 定义 ， 从 而 限制 任何 人 未 经 授权 的 
访问 或 者 修改 产品 系统 。 . 

应 用 程序 中 的 某 些 错误 可 能 会 为 系统 带 来 安全 影响 ， 对 这 些 错误 的 测试 也 是 非常 重要 的 。 
黑客 利用 的 大 量 安全 漏洞 都 是 一 些 软件 错误 或 者 bug 所 造成 的 结果 ， 这 些 错误 可 以 打开 进 人 系 
统 其 他 部 分 的 大 门 ， 甚 至 利用 操作 系统 的 命令 。 用 不 常见 的 情况 来 测试 应 用 程序 可 以 降低 这 
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些 安全 暴露 问题 所 造成 的 风险 。 
20.2.5 维护 


对 于 一 个 分 布 式 应 用 来 说 ， 一 个 颇 为 头疼 的 问题 是 对 分 布 化 和 实现 改变 的 需求 。 该 问题 
让 人 头疼 的 程度 取决 于 必须 要 改变 的 应 用 程序 的 数量 和 地 理 位 置 。 如 果 要 保证 所 需 的 全 部 改 
变 都 会 正确 且 及 时 实现 ， 那么 必须 要 有 一 个 形式 化 的 改变 管理 过 程 。 通 常 这 意味 着 所 有 的 改 
变 都 必须 同时 实现 ， 或 者 至 少 是 所 有 位 置 都 以 一 个 一 致 的 方式 来 实现 。 该 变化 管理 过 程 也 必 
须要 保证 只 有 经 过 授权 的 改变 才能 实现 。 在 这 里 ， 改 变 过 程 的 自动 化 是 非常 有 帮助 的 。 

改变 管理 应 该 由 一 个 策略 来 控制 ， 该 策略 需要 规定 实现 改变 和 过 程 所 需要 的 责任 。 改 变 
管理 过 程 的 安全 性 应 该 在 系统 的 设计 阶段 进行 考虑 。 攻 击 者 应 该 不 能 使 用 改变 管理 系统 来 分 
布 未 经 授权 的 软件 ， 例 如 特洛伊 森马 。 只 有 对 处 理 逻 辑 的 变更 才能 需要 进行 应 用 程序 改变 。 
当 授权 表 更 新 或 者 安全 原则 改变 的 时 候 ， 应 用 程序 本 身 不 需要 进行 改变 。 系 统 中 应 该 选择 使 
用 可 以 同 其 他 安全 机 制 进行 互 操作 或 者 进行 结合 的 安全 标准 ， 这 是 一 个 非常 好 的 做 法 。 


20.2.6 认可 


系统 是 否 满足 一 个 定义 良好 的 、 通 过 正式 过 程 测量 的 安全 标准 ， 这 是 由 系统 认可 来 正式 
认可 的 。 认 可 程序 的 结果 是 对 风险 的 一 个 正式 认可 。 认 可 程序 同 用 来 验证 安全 标准 是 否 满足 
的 质量 控制 过 程 非常 类 似 。 在 移 到 产品 中 之 前 ， 每 个 系统 和 应 用 程序 都 应 该 交 给 一 个 认可 过 
程 来 评估 。 认 可 过 程 将 检查 系统 的 安全 组 件 以 判断 是 否 支持 设计 需求 和 标准 ， 以 及 是 否 是 解 
决 问题 的 正确 方案 。 认 可 过 程 应 该 定期 进行 ， 特 别 是 在 系统 中 进行 了 大 量 的 变化 以 后 。 

一 个 正式 认可 过 程 的 组 件 包括 了 质量 保证 测试 和 证 明 。 质 量 保证 测试 运用 控制 来 测试 它 
们 在 技术 上 是 否 正确 和 有 效 。 证 明 过 程 是 测试 所 实现 的 安全 机 制 是 否 满足 已 制定 标准 的 正式 
方法 。 系 统 风险 越 危险 或 者 越 大 ,证明 过 程 就 应 该 越 正 式 。 该 过 程 应 该 由 一 个 同 设计 或 者 构 
建 系 统 没有 关系 的 授权 体 来 执行 。 系 统 开发 生命 周期 中 应 该 包括 质量 保证 计划 。 


20.2.7 GSSAPI 


我 们 需要 把 安全 服务 集成 到 应 用 程序 中 ， 这 种 需要 是 可 用 的 。 现 在 ， 已 经 提议 了 用 于 在 
应 用 程序 和 所 需 安 全 功能 之 间 提 供 链接 的 一 套 标 准 ， 即 因特网 工程 工作 小 组 ( Internet 
Engineering Task Force ) 的 网 络 工作 组 (Network Working Group ) 所 提议 的 通用 安全 服务 应 
用 程序 编程 接口 (Generic Security Service Application Programming Interface， GSSAPI )。 该 
标准 是 在 RFC 1508 中 描述 的 。GSSAPI 为 客户 机 -服务 器 应 用 程序 提供 了 一 套 同安 全 功能 进行 
交互 的 通用 接口 。 从 应 用 程序 中 使 用 很 多 API 调 用 ， 很 多 安全 机 制 都 可 以 同 GSSAPI 一 起 使 用 。 
管理 指定 安全 机 制 的 责任 可 以 从 应 用 程序 中 删除 。GSSAPI 是 独立 于 安全 机 制 和 协议 的 。 它 使 
得 应 用 程序 可 以 在 不 同 环境 之 间 保 持 源 代码 级 的 可 移植 性 。 

使 用 GSSAPI 实 现 的 应 用 程序 可 以 同 具 有 DCE ( Distributed Computing Environment， 分 布 
式 计算 环境 ) 提供 的 安全 功能 的 应 用 程序 进行 交互 。 使 用 GSSAPI， 应 用 程序 可 以 同 DCE 安 全 
服务 器 进行 通信 ， 从 而 允许 应 用 程序 不 必 非 得 成 为 一 个 DCE 节 点 。 客 户 机 平台 上 的 GSSAPI 用 
来 请 求 和 管理 DCE 安 全 服务 器 和 目标 应 用 之 间 所 需 的 安全 凭证 。GSSAPI 可 以 用 来 为 分 布 式 系 
统 中 的 通信 、 数 据 来 源 认证 以 及 数据 完整 性 提供 保密 性 。 也 可 以 扩展 GSSAPI 的 使 用 为 WWW 
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应 用 程序 提供 安全 ， 这 是 一 项 正在 开展 的 工作 。 
20.2.8 对 象 
， 在 第 9 章 中 ， 我 们 已 经 探讨 了 一 些 分 布 式 对 象 的 知识 ， 并 介绍 了 一 些 安全 性 问题 。 在 分 布 


式 面向 对 象 应 用 程序 中 ， 最 大 的 挑战 之 一 在 于 保证 对 象 能 够 得 到 所 需 的 保护 机 制 。 面 向 对 象 


系统 的 主要 特性 之 一 是 它 具 有 把 客户 机 对 象 的 功能 委托 给 目标 对 象 的 能 力 。 执 行路 径 可 能 并 
不 总 是 可 预测 的 ， 目 标 对 象 本 身 可 以 成 为 一 个 客户 机 对 象 。 正 常情 况 下 ， 可 以 分 布 到 多 个 平 
台 上 的 对 象 并 不 带 有 用 户 概念 。 为 了 保护 对 象 免 遭 未 经 授权 的 访问 ， 我 们 需要 有 一 个 方法 来 
提供 对 象 间 的 信任 。 

请 求 应 用 服务 的 人 或 者 程序 需要 指定 一 个 惟一 的 标识 符 ， 通 常情 况 下 ， 这 种 标识 符 所 使 
用 的 是 一 个 用 户 ID 或 者 一 些 其 他 方式 。 另 外 , 它 还 需要 一 个 与 其 相关 的 特权 列表 。 在 第 9 章 中 ， 
我 们 看 到 在 分 布 式 对 象 应 用 程序 中 ， 需 要 有 一 个 对 象 请 求 代理 来 代理 对 分 布 式 对 象 的 访问 。 
管理 对 象 间 的 关系 也 是 ORB 的 责任 ， 这 样 做 的 目的 是 保持 所 需 的 保护 级 别 。 我 们 需要 保证 ， 
不 管 如 何 调用 对 象 ， 对 对 象 的 访问 都 必须 是 经 过 授权 的 。 当 认证 用 户 或 者 系统 时 ， 建 立 的 特 
权 就 需要 委托 到 可 能 执行 的 所 有 对 象 上 。 

处 理 分 布 式 对 象 安全 的 标准 和 技术 还 没有 达到 其 他 分 布 式 技术 的 成 熟 程度 。 当 考虑 分 布 
式 对 象 处 理 时 ， 我 们 需要 考虑 对 象 框架 ， 它 提供 了 最 丰富 的 安全 功能 级 别 和 最 大 的 灵活 性 。 
公开 密 钥 技术 和 证 书 及 认证 中 心 的 使 用 非常 有 助 于 定义 对 象 框架 所 需 的 功能 和 性 质 。ORB 应 
该 能 够 利用 不 同 的 安全 技术 ， 同 时 要 把 这 些 技术 的 差别 向 应 用 程序 隐藏 起 来 。 

对 象 的 引入 为 标识 、 认 证 和 授权 过 程 都 带 来 了 新 挑战 ， 这 些 过 程 通常 都 是 同 用 户 相关 的 。 
对 象 一 般 没 有 用 户 概念 。 如 果 对 象 分 布 到 多 个 位 置 或 者 多 种 平台 之 上 ， 那 么 情况 会 更 加 复杂 。 
数据 库 系统 通常 具有 自己 的 安全 系统 ， 它 们 可 以 很 好 地 保护 数据 库 。 当 数据 库 被 事务 或 者 面 
向 对 象 系统 访问 时 ， 这 会 变 得 不 明显 。 当 使 用 对 象 技术 时 ， 由 于 安全 问题 的 复杂 人 性， 审计 和 
安全 部 门 最 好 参与 整个 应 用 程序 的 设计 过 程 。 


20.2.9 基于 角色 和 基于 规则 的 安全 性 


授权 通常 是 使 用 个 体 或 者 请 求 授权 的 过 程 的 标识 来 进行 的 。 这 意味 着 用 于 授权 的 机 制 必 
须要 访问 一 个 定义 这 些 标识 的 列表 以 及 与 它们 相关 的 特权 。 维 护 标识 和 特权 列表 会 极 大 的 增 
加 管理 难度 和 工作 量 。 由 于 员工 或 者 责任 的 变化 而 导致 对 这 些 列表 的 漆 加 或 者 修改 是 必须 要 
注意 的 。 

允许 授权 访问 的 另 一 种 方法 是 使 用 已 定义 的 角色 来 代替 个 体 标识 。 角 色 是 由 工作 责任 而 
不 是 由 用 户 定义 的 ， 并 且 是 面向 组 的 而 不 是 面向 用 户 的 。 授 权 访问 是 根据 一 个 角色 组 的 成 员 
关系 而 不 是 根据 独立 个 体 标识 来 授予 的 。 这 种 方法 可 以 减少 整体 管理 需求 ， 并 且 可 以 把 定义 
所 需 安全 性 的 责任 从 系统 管理 员 移 到 已 定义 的 策略 和 指导 原则 上 。 特 权 不 再 是 根据 个 体 来 维 
护 的 ， 而 是 由 角色 来 定义 。 个 人 责任 的 改变 只 会 简单 地 反映 到 不 同 的 角 包 上" 两 不 是 改变 可 
以 维护 授权 列表 的 所 有 地 方 。 

在 业务 规划 的 基础 上 提供 授权 是 对 基于 角色 的 安全 性 的 一 个 扩展 ， 它 也 代 巷 了 独立 个 休 
的 使 用 。 普 通 的 授权 决策 是 建立 在 对 个 体 是 否 能 够 访问 受 保护 资源 的 判断 之 基础 上 的 。 是 否 
允许 对 受 保护 资源 的 访问 ， 可 以 根据 请 求 的 类 型 或 性 质 来 决定 ， 而 不 是 仅仅 根据 请 求 来 决定 。 
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例如 ， 一 个 用 户 可 以 处 理 1000 元 以 下 的 事务 ， 而 另 一 个 用 户 可 以 进行 10000 元 以 下 的 事务 。 通 
过 使 用 特殊 的 程序 代码 来 处 理 所 需 的 访问 规则 ， 许 多 应 用 程序 已 经 提供 了 这 种 功能 。 如 果 所 
有 需要 授权 处 理 的 地 方 都 必须 使 用 和 维护 规则 ， 那 么 这 可 能 会 变 得 非常 笨重 。 

分 布 式 系统 中 最 合适 的 响应 是 ， 使 用 一 个 集中 式 授权 服务 来 授予 访问 权 ， 授 权 所 根据 的 
是 应 用 到 请 求 个 体 或 角色 上 的 业务 规则 。 这 些 规 则 可 以 结合 到 授权 处 理 中 。 例 如 ， 惠 普 提 供 
了 一 种 集中 式 授 权 服务 ， 它 可 以 在 已 定义 的 业务 规则 的 基础 上 对 分 布 式 请 求 进行 授权 。 在 这 
种 情况 下 ， 就 没有 必须 要 使 用 应 用 程序 代码 来 应 用 规则 。 这 些 规则 可 以 在 不 修改 应 用 程序 代 
码 的 情况 下 改变 。 临 时 改变 授权 可 以 不 进行 费事 的 额外 授权 工作 。 这 种 做 法 可 以 在 无 需 额外 
努力 的 情况 下 提高 安全 性 级 别 。 


20.2.10 重新 添加 安全 性 


通过 本 章 的 介绍 ， 我 们 已 经 知道 了 安全 性 必须 要 一 开始 就 设计 到 应 用 程序 中 。 如 果 没 有 
这 么 做 ， 那么 后 面 就 有 可 能 再 对 产品 应 用 环境 重新 添加 安全 性 。 在 这 种 情况 下 ， 产 品 环境 可 
能 会 变 得 支离破碎 。 例 如 ， 解 决 网 络 安全 问题 的 一 种 途径 是 在 客户 机 和 服务 器 之 间 引 入 硬件 
加 密 设 备 。 这 些 设备 ( 黑箱 ) 可 以 对 客户 机 和 服务 器 之 间 的 数据 流量 进行 加 密 。 同 时 ， 客 户 
机 或 者 服务 器 上 代码 不 需要 改变 。 对 基于 LAN 的 网 络 中 的 网 络 流量 进行 安全 性 保护 的 另 一 种 
途径 是 ， 和 截获 LAN 卡 和 应 用 程序 之 间 的 流量 。 在 这 种 情况 下 ， 应 用 程序 和 网 络 之 间 需 要 有 一 
套 软件 解决 方案 ， 该 软件 可 以 无 颖 地 截获 和 解密 客户 机 和 服务 器 之 间 的 应 用 流量 。 

对 应 用 系统 重新 添加 安全 性 实在 是 下 下 之 策 。 尽 管 确实 有 相应 的 技术 解决 方案 ， 但 是 对 
安全 性 问题 还 是 要 尽 可 能 早 地 解决 。 如 果 在 早期 没有 制定 良好 的 计划 并 及 时 行动 ， 那 么 解决 
问题 的 整体 成 本 就 会 变 得 很 大 ， 并 且 解 决 问题 的 思路 也 会 被 限制 得 很 窗 。 


20.3 小 结 . 


在 今天 的 客户 机 -服务 器 环境 中 , 对 系统 重新 添加 安全 性 不 是 一 个 简单 任务 而 且 成 本 巨大 。 
同 大 型 机 环境 不 同 ， 分 布 式 环境 中 的 应 用 程序 通常 不 能 进行 独立 的 全 面 控制 。 在 应 用 程序 设 
计 中 ， 安 全 性 必须 要 尽早 的 包括 进来 ， 它 是 应 用 程序 开发 过 程 的 一 个 核心 组 件 。 

计算 机 应 用 的 安全 性 考虑 包括 了 应 用 程序 的 安全 开发 和 管理 ， 以 及 应 用 程序 所 需 的 安全 
工具 。 系 统 开发 完毕 并 不 意味 着 安全 考虑 就 结束 了 。 对 任何 具有 具体 需求 的 计算 机 系统 来 说 ， 
安全 性 必须 要 在 设计 阶段 就 考虑 ， 并 一 直 持续 到 开发 阶段 。 由 于 安全 问题 有 很 多 不 同 的 解决 
途径 和 技术 ， 所 以 挑战 就 在 于 如 何 把 正确 的 技术 和 方案 集成 到 具体 的 应 用 中 。 在 下 一 章 中 ， 
我 们 将 看 一 下 如 何 把 安全 性 带 到 大 量 的 分 布 式 应 用 程序 中 。 
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标准 Lotus Notes 的 安全 性 
电子 数据 交换 用 户 认证 
保密 增强 邮件 Lotus Notes 


良好 保密 


前 面 我 们 已 经 花 了 大 量 的 篇 幅 来 讲述 分 布 式 安全 环境 中 的 问题 以 及 复杂 性 ， 现 在 我 们 来 
看 一 下 如 何 实现 这 种 分 布 式 安全 环境 。 电 子 邮 件 系 统 是 一 种 很 常见 的 应 用 ， 它 必须 要 在 一 个 
安全 性 、 分 布 式 的 工作 方式 下 操作 。 群 件 系统 是 对 邮件 系统 的 扩展 ， 它 起 到 了 分 布 式 知识 支 
持 系统 的 作用 。 它 的 出 现 为 计算 机 的 使 用 带 来 了 巨大 的 影响 。 在 本 章 中 ， 我 们 要 探讨 一 下 分 
布 式 电子 邮件 系统 中 的 安全 性 问题 ， 并 介绍 一 些 正在 出 现 的 技术 和 标准 。 我 们 还 要 看 一 下 信 
任 问 题 在 一 种 主要 的 群 件 产品 Lotus Notes 中 是 如 何 实现 的 。 

下 面 我 们 定义 一 个 新 概念 一 一 基础 结构 应 用 程序 一 一 在 分 布 式 处 理 环境 中 使 用 一 个 技术 
和 标准 框架 来 执行 其 功能 的 应 用 程序 。 换 名 话说， 这 些 应 用 程序 在 系统 之 间 进 行 通信 和 协调 
以 完成 其 任务 。 为 达到 此 目的 ， 我 们 需要 一 个 公共 接口 ， 或 者 一 个 能 够 同 所 有 不 同 的 平台 和 
邮件 应 用 程序 进行 通信 的 接口 。 


21.1 电子 邮件 


电子 邮件 或 者 消息 系统 已 经 面世 很 长 一 段 时 间 了 。 它 们 从 简单 的 消息 存储 和 转发 系统 一 
直 发 展 成 熟 到 全 功能 的 分 布 式 应 用 。 早 期 的 邮件 实现 提供 了 一 个 集中 邮箱 仓库 来 存储 消息 ， 
并 且 提供 了 一 个 存储 和 检索 消息 的 方法 。 每 个 用 户 都 指定 有 自己 的 邮箱 。 消 息 的 邮递 非常 简 
单 ， 就 是 把 消息 保存 在 另 一 个 邮箱 中 。 用 户 通过 中 心 邮 件 应 用 程序 来 格式 化 、 投 递 以 及 检索 
邮件 消息 。 只 要 每 个 人 都 使 用 同一 个 邮件 系统 ， 这 种 方法 就 能 正常 工作 。 

简单 的 消息 应 用 程序 也 迁移 到 了 PC/LAN 环 境 中 。 这 些 应 用 程序 服务 于 本 地 用 户 ， 它 们 被 
用 做 部 门 邮箱 系统 。 随 着 需求 的 增长 ， 人 们 把 这 些 部 门 系 统 同 其 他 邮件 系统 连接 起 来 ， 进 而 
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同 其 他 组 织 的 系统 进行 互 连 。 如 果 所 使 用 的 邮件 产品 来 自 于 同一 厂商 并 支持 同一 标准 的 话 ， 
那么 问题 就 相对 简单 了 。 如 果 涉 及 到 了 不 同 的 产品 ， 那 么 解决 方案 就 很 困难 了 。 一 些 流行 产 
品 提供 了 转换 网 关 来 在 其 产品 之 间 移 动 邮件 ， 这 样 就 解决 了 一 部 分 问题 。 

当 处 理 邮件 系统 互 连 时 ， 一 个 主要 挑战 是 为 电子 邮件 系统 提供 安全 性 。 如 果 要 在 网 络 上 
发 送 机 密 消息 ， 那 么 必须 要 保证 传输 的 安全 性 以 免 消息 被 窗 听 。 应 该 对 消息 发 送 者 进行 认证 ， 
从 而 证 明 消息 的 来 源 ， 并 防止 发 送 者 标识 被 伪造 欺骗 。 消 息 的 发 送 也 必须 要 保证 消息 的 完整 
性 ， 并 且 能 够 检查 出 消息 的 任何 改变 。 为 保证 消息 传输 的 准确 性 ( 由 预期 的 接收 者 收 到 和 读 
取 )， 消 息 系统 应 该 提供 传输 证 明 。 . 

有 两 个 标准 电子 邮件 (e-mail ) 体系 结构 可 用 于 直接 向 用 户 提供 电子 邮件 服务 并 互 连 专 有 
电子 邮件 系统 。 第 一 个 是 著名 的 X.400 标 准 ， 它 定义 了 一 个 独立 于 厂商 的 邮件 标准 。 该 标准 包 
括 了 一 套 完整 的 安全 机 制 规范 。 第 二 个 称 做 因特网 邮件 体系 结构 。 该 体系 结构 的 安全 功能 没 
有 X.400 中 的 安全 功能 成 熟 。 因 特 网 邮件 体系 结构 的 保密 增强 邮件 ( Privacy Enhanced Mail， 
PEM ) 选项 在 1993 年 成 为 可 选 的 ， 它 也 提供 了 安全 功能 。 良 好 保密 ( Pretty Good Privacy， 
PGP ) 是 一 个 公开 密 钥 加 密 工 具 ， 它 在 因特网 邮件 应 用 中 具有 非常 高 的 流行 度 。 后 面 我 们 将 
详细 介绍 这 些 安 全 组 件 。 


21.1.1 电子 邮件 安全 需求 


今天 的 电子 邮件 系统 被 用 来 在 组 织 内 和 组 织 间 进 行 通信 。 为 了 支持 这 种 外 部 的 通信 需求 ， 
邮件 系统 之 间 需 要 使 用 一 个 安全 方法 来 互相 发 送 消息 。 表 21-1 概 括 出 了 支持 这 种 安全 消息 交 
换 所 需要 的 一 些 需求 。 只 有 解决 了 所 有 这 些 需 求 ， 邮 件 系 统 才能 是 可 信和 的。 
表 21-1 电子 邮件 安全 需求 


LU -一 -一 


需 求 说 明 

提交 证 明 验证 消息 已 被 邮件 系统 所 接受 

传输 证 明 验证 消息 已 被 传送 给 邮件 接受 者 

机 密 性 验证 消息 内 容 的 私密 性 ， 被 发 送 的 消息 可 以 保持 内 容 私密 性 

来 源 证 明 能 够 证 明 消息 发 送 者 标识 的 能 力 

颈 名 能 够 发 送 一 条 消息 同时 不 让 接受 者 发 现 发 送 者 的 标识 的 能 力 

审计 系统 能 够 记录 同安 全 相关 的 事件 ， 从 而 在 将 来 进行 分 析 

自 销毁 消息 发 送 者 可 以 指定 ， 接 收 者 收 到 并 读 取 消息 以 后 ， 消 息 应 该 销毁 

认可 防止 发 送 者 或 接收 者 对 消息 的 发 送 或 者 接收 进行 否认 

消息 完整 性 保证 一 条 消息 或 者 一 组 消息 会 以 发 送 的 顺序 到 达 目 的 地 ， 并 且 不 会 损失 任何 数据 

密 钥 管理 在 多 个 邮件 系统 参与 方 之 间 协 调 私有 密 钥 ， 同 时 不 会 危害 密 钥 的 安全 
21.1.2 标准 


同 分 布 式 计算 中 的 其 他 领域 一 样 ， 也 有 几 个 有 关 分 布 式 电子 邮件 服务 的 标准 。 在 这 些 标 
准 中 ， 有 些 是 互相 补充 的 ， 有 些 是 互相 竞争 的 。 随 着 分 布 式 技术 的 成 熟 和 我 们 对 电子 邮件 技 
术 的 关注 点 的 变化 ， 这 些 标准 也 在 不 断 变化 。 下 面 我 们 将 简要 介绍 当前 分 布 式 邮件 服务 所 涉 
及 到 的 一 些 标准 。 

1. X.400 邮 件 服务 

X.400 标 准 是 国际 标准 化 组 织 (ISO ) 和 国际 电信 联盟 ( International Telecommunications 
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Union，ITU ) 联合 定义 的 ， 它 定义 了 一 个 独立 于 厂商 的 邮件 标准 。 网 络 应 用 程序 使 用 该 标准 
来 在 应 用 程序 ( 例如 email ) 之 间 存 储 和 转发 消息 。 对 于 大 多 数 公共 服务 或 者 军事 消息 应 用 程 
序 来 说 ， 同 X.400 规 范 兼容 现在 已 是 一 个 标准 要 求 。 大 多 数 邮件 厂商 都 支持 X.400 标 准 ， 或 者 
推出 了 X.400 兼 容 产 品 。 该 标准 提供 了 对 大 型 二 进 制 对 象 (Binary Large Object，BLOB ) 的 支 
持 ， 从 而 允许 应 用 程序 交换 图 像 、 传 真 或 者 其 他 可 以 附加 到 邮件 消息 上 的 二 进 制 文件 。 
X.4090 规 范 包括 了 X.500 标 准 所 定义 的 目录 服务 。X.400 的 安全 性 是 在 X.509 标 准 的 一 部 分 中 制 
定 的 。 前 面 第 15 章 中 已 经 提 到 过 了 X.509 标 准 ， 该 标准 制定 了 用 于 密码 标识 、 加 密 、 数 字 签名 
以 及 审计 的 机 制 。 

2. X.400 安 全 性 

X.400 标 准 的 安全 功能 是 非常 全 面 的 ， 它 被 其 他 开放 式 系 统 应 应 用 程序 用 做 一 个 参考 模型 。 
X.400 体 系 结构 包括 了 一 个 称 做 用 户 代理 (User Agent，UA ) 的 逻辑 级 别 和 一 个 更 低 的 称 做 消 
息 传输 系统 (Message Transfer System，MTS ) 的 级 别 。MTS 是 由 多 个 消息 传输 代理 〈《Message 
Transfer Agent，MTA ) 组 成 的 。UA 执 行 所 有 的 同 用 户 联系 的 消息 服务 。 MTA 提 供 消息 存储 和 
转发 服务 ， 它 可 以 把 消息 从 一 个 UA 传送 到 正确 的 目的 UA。X.400 标 准 已 经 进行 了 扩充 ， 以 便 
支持 电子 数据 交换 ( Electronic Data Interchange，EDI ) 事务 (X. 435 标 准 定义 ) 的 传输 。 

X.400 安 全 消息 功能 包括 了 19 个 服务 元 素 ， 这 些 元 素 可 以 分 为 5 组 : 基本 的 端 到 端 服务 、 
消息 路 径 服 务 、MTS 协 作 服务 、 认 可 服务 以 及 安全 管理 服务 。 当前 该 标准 没有 指定 任何 加 密 
算法 ， 公 开 密 钥 或 者 私有 密 钥 加 密 机 制 都 可 以 使 用 。X. 400 标 准 为 实现 提供 了 大 量 可 用 的 安全 
选项 。 这 些 选项 包括 了 消息 来 源 认 证 、 传 输 证 明 、 内 容 完 整 性 、 内 容 机 密 性 、 对 等 实体 认证 
以 及 几 个 认可 服务 。 

3. X.500 目 录 服 务 

最 基本 的 问题 之 一 是 找 出 东西 的 位 置 。X.500 目 录 可 用 来 连接 和 组 织 来 自 不 同 地 点 的 信息 ， 
这 对 用 户 和 应 用 程序 来 说 都 是 很 有 用 的 。 这 种 能 力 是 由 国家 标准 化 组 织 〈ISO ) 和 国际 电话 与 
电报 顾问 委员 会 Consultative Committee for International Telephony and Telegraphy, CCITT ) 
联合 定义 的 一 套 标准 定义 的 。X.500 目 录 是 由 一 一 个 同 面向 对 象 模式 非常 类 似 的 模式 所 定义 的 ， 
它 提供 了 整体 逻辑 结构 的 一 个 映射 。X.500 目 录 的 基础 结构 是 一 个 树 型 结构 ， 靠近 树 的 顶端 位 
置 保持 了 全 局 或 者 公共 信息 ， 树 的 底 端 则 保存 了 对 象 的 更 详细 信息 。 沿 着 通 往 根 的 路 径 而 下 ， 
下 面 对 象 继承 了 上 面 对 象 的 属性 。 实 现 了 以 后 ，X.500 目 录 看 起 来 像 一 个 目录 ， 而 实际 上 它 可 
能 使 用 了 分 布 在 多 个 平台 和 位 置 上 的 多 个 目录 。 

4. 售 主 无 关 性 的 消息 接 发 

售 主 无 关 性 的 消息 接 发 (Vendor-Independent Messaging， VIM ) 是 一 个 由 多 家 软件 厂 商 
所 支持 的 消息 接口 ， 其 中 包括 Lotus、Apple、IBM、Borland、 Oracle、WordPerfect 以 及 
Novell。VIM 设 计 用 来 提供 一 个 跨 平 台 的 消息 接口 。 它 是 一 个 用 于 从 各 种 客户 机 环境 直接 连 
接 邮 件 引擎 的 规范 ， 使 用 VIM 可 以 代替 网 关 。 消 息 层 实际 上 是 各 种 邮件 引擎 的 一 个 部 分 。 独 
立 厂商 在 其 传统 平台 上 提供 了 对 VIM 的 支持 。 VIM 由 55 个 支持 简单 邮件 、 消息 存储 和 有 目录 服 
务 的 API 调 用 组 成 。 尽 管 VIM 的 名 字 表 明 它 是 一 个 售 主 无 关 性 的 标准 ， 但 实际 上 它 只 代表 非常 
- 少 的 消息 系统 厂商 。 

5. 消息 应 用 编程 接口 
消息 应 用 编程 接口 (Messaging Application Programming Interface， MAPI ) 是 微软 公 N 司 
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对 电子 邮件 标准 的 响应 。 它 是 一 个 基于 Windows 的 数据 链接 库 (Data Link Library ，DLL )， 
该 链接 库 执行 客户 机 服务 ， 并 通过 服务 提供 者 接口 ( Service Provider Interface，SPI ) 同 其 他 
邮件 处 理 引擎 进行 通信 。MAPI 的 基本 功能 ， 称 做 简单 MAPI， 包 括 了 一 系列 的 12 个 API 调 用 ， 
这 些 API 调 用 可 以 激活 邮寄 、 存 储 和 提供 目录 服务 的 公共 服务 。MAPI 的 高 级 功能 称 做 扩展 
MAPI， 它 提供 了 另外 一 套 具 有 附加 功能 的 API 调 用 。 这 100 多 个 API 调 用 提供 了 对 更 复杂 的 消 
息 和 功能 以 及 附加 邮件 服务 的 支持 。 操 作 系 统 (例如 Windows for Workgroup ) 所 带 有 的 
MAPI 客 户 功能 提供 了 自由 的 邮件 访问 ， 但 是 它 可 能 限制 分 布 式 环境 中 的 跨 平台 选择 ， 其 原因 
在 于 MAPI 是 Windows 环 境 所 特有 的 。 

6. 公共 邮件 调用 

公共 邮件 调用 (Common Mail Call，CMC ) 是 由 X.400 API 协 会 (XAPIA ) 定义 的 ， 它 是 
为 VIM 和 MAPI 提 供 支持 的 一 个 方法 。CMC 接 口 在 消息 服务 和 启用 邮件 的 应 用 程序 之 间 定 义 了 
公共 消息 调用 。Microsoft 和 Lotus 都 为 应 用 程序 开发 人 员 提 供 了 现成 库 ， 通 过 这 些 库 ， 开 发 人 
员 可 以 避免 为 VIM 或 者 MAPI 维 护 多 个 独立 的 邮件 产品 版 本 。CMC 规 范 为 简单 邮件 功能 提供 了 
10 个 API 调 用 。 使 用 一 个 类 似 于 CMC 的 接口 标准 可 以 把 可 用 的 功能 缩减 到 一 个 公共 子 集 ， 从 
而 不 必 支 持 VIM 和 MAPI 所 提供 的 许多 扩展 功能 。 

7. 简单 邮件 传输 协议 

简单 邮件 传输 协议 (Simple Mail Transport Protocol，SMTP ) 主要 是 在 UNIX 域 中 所 持 的 。 
现在 ， 它 是 因特网 上 的 主要 邮件 传输 规范 。 该 协议 已 经 成 为 黑客 的 几 个 最 大 攻击 点 之 一 。 使 
用 SMTP 的 邮件 程序 都 已 经 成 为 几 种 攻击 的 受害 者 ， 这 些 攻 击 所 利用 的 安全 漏洞 是 由 邮件 程序 
的 调试 功能 所 提供 的 。 这 些 漏洞 包括 : 使 用 UNIX 邮 件 程序 转发 密码 文件 的 拷贝 、 使 用 调试 过 
程 中 的 缺陷 来 获得 超级 用 户 特权 以 及 使 用 高 级 特权 来 保存 文件 。 

8. 多 用 途 邮 件 扩展 

Multipurpose Mail Extension (Multipurpose Mail Extension, MIME ) 是 一 个 因特网 标准 ， 
它 定义 了 消息 类 型 (不 是 ASCII 文 本 ) 如 何 使 用 一 个 因特网 邮件 消息 来 传递 。 内 容 定义 的 类 型 
包括 文本 、 多 部 分 、 消 息 、 应 用 程序 、 图 像 、 音 频 和 视频 。 其 中 ， 因 特 网 RFC 1521 定 义 了 文 
本 部 分 (第 1 部 分 )，RFC 1522 定 义 了 非 ASCII 文 本 部 分 (第 2 部 分 )。 超 文本 传输 协议 
( Hypertext Transfer Protocol ) 使 用 MIME 来 描述 文档 的 类 型 。 基本 的 MIME 规 范 没 有 包括 具体 
的 安全 保护 。 

因特网 REC 1847， 即 MIME 安 全 部 分 ， 定 义 了 可 以 应 用 到 MIME 部 分 消息 上 的 安全 服务 接 
口 。RFC 定 义 了 两 种 新 的 MIME 消 息 元 素 类 型 ， 签 名 多 部 分 和 加 密 多 部 分 。 前 者 指定 了 如 何 通 
过 使 用 数字 签名 来 支持 认证 和 完整 性 ， 后 者 指定 了 如 何 通过 使 用 加 密 来 保持 消息 部 分 的 机 密 
性 。RFC 并 没有 指定 具体 的 安全 标准 ， 而 是 描述 了 MIME 如 何 同 其 他 已 有 安全 协议 进行 对 接 的 
一 个 框架 。 

另 一 个 因特网 RFC ( 1848 )，MIME 对 象 安 全 服务 (MIME Object Security Service， 
MOSS )， 定 义 了 一 些 安全 协议 ， 它 们 可 以 应 用 到 RFC 1847 定 义 的 多 部 分 框架 上 。 实际 上 ， 
MOSS 是 主要 建立 在 RFC 1421 所 定义 的 保密 增强 邮件 标准 上 的 。 MOSS 服 务 是 基于 公开 加 密 技 
术 的 。 消 息 的 生成 者 使 用 一 个 私有 密 钥 来 为 消息 创建 数字 签名 ， 并 使 用 接受 者 的 公开 密 钥 来 
加 密 消息 以 保证 消息 的 机 密 性 。 消 息 的 接受 者 使 用 其 私有 密 钥 来 解密 消息 ， 并 使 用 发 送 者 的 
公开 密 钥 来 检验 消息 的 数字 签名 。 MIME 安 全 性 的 使 用 使 得 不 同 的 消息 内 容 类 型 或 者 主体 部 分 
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都 得 以 保护 ， 并 且 允 许 使 用 不 同 的 安全 服务 来 保护 消息 组 件 。 
21.1.3 电子 数据 交换 


电子 数据 交换 ( Electronic Data Interchange，EDI ) 的 出 现 为 电子 信息 应 用 带 来 了 革新 。 
EDI 可 以 描述 成 电子 形式 商务 文档 的 移动 ， 它 可 以 支持 业务 关系 。 许 多 生产 商 改 变 即时 清单 系 
统 的 目的 就 在 于 试图 支持 订单 和 确认 信息 的 电子 交换 。 例 如 在 某 些 情况 下 ， 汽 车 制造 对 零件 
或 者 材料 的 需求 是 以 小 时 为 单位 测量 的 。EDI 是 网 络 消息 系统 的 特殊 业务 实现 ， 它 设计 来 支持 
这 种 快速 定购 和 发 货 需 求 。 例 如 ， 汽 车 制造 商 向 零件 提供 商 发 送 一 个 订单 消息 ， 然 后 零件 提 
供 商 返回 一 个 发 货 通 知 来 确认 请 求 者 。 发 票 可 能 也 顺道 一 起 发 回来 。 

当前 有 很 多 用 于 EDI 的 标准 ， 它 们 通常 都 是 基于 具体 工业 实现 的 。 一 般 来 说 ， 这 些 标准 可 
以 分 为 三 组 。 联 合 国 /技术 文档 交换 ( United Nations/Technical Document Interchange ) 主要 用 
来 支持 欧洲 EDI。EDI 标 准 中 的 ANSI X.12 标 准 是 由 美国 国家 标准 委员 会 (ANSI ) 认可 的 。 用 
于 管理 、 贸 易 以 及 商务 的 电子 数据 交换 ( Electronic Data Interchange for Administration 、Trade 
and Commerce，EDIFACT ) 是 正在 兴起 的 国际 标准 。X.435 标 准 是 对 X.400 的 EDI 消 息 服务 增 
强 ， 它 允许 邮件 和 EDI 事 务 共 享 同 一 个 邮件 主干 。X.435 同 信封 类 似 ， 它 封装 了 EDI 事 务 消息 。 
X.435 提 供 了 扩展 的 安全 功能 ， 这 包括 事务 通知 的 证 明和 认可 、 接 收 内 容 的 证 明 以 及 内 容 来 源 
或 接收 的 认可 。 当 你 使 用 电子 系统 进行 购物 的 时 候 ， 需 要 确认 订单 及 其 内 容 的 真实 性 。 


21.1.4 保密 增强 邮件 


保密 增强 邮件 (Privacy Enhanced Mail，PEM ) 是 一 个 因特网 标准 草案 ， 它 定义 了 消息 加 
密 和 认证 过 程 ， 从 而 在 因特网 上 提供 安全 邮件 服务 。 该 标准 规范 包含 在 因特网 RFC 1421 文 档 
的 4 个 部 分 中 。 第 1 部 分 一 消息 加 密 和 认证 过 程 ， 第 2 部 分 一 一 基于 证 书 的 密 钥 管理 ， 第 3 部 

示 识 符 ， 第 4 部 分 一 一 密 钥 证 书 及 其 相关 服务 。PEM 设 计 来 同 已 有 的 邮件 
系统 一 起 工作 ， 但 主要 是 使 用 SMTP 定 向 到 邮件 系统 。 因 特 网 邮件 是 建立 在 底层 的 文本 -字符 
串 传 输 系统 之 上 的 ， 而 不 是 建立 在 透明 的 二 进 制 传输 系统 之 上 的 (于 X.400 不 同 )。 这 使 得 
PEM 有 必要 在 常规 的 加 密 功 能 之 外 再 包括 一 些 特殊 的 处 理 步骤 。 

PEM 为 三 种 类 型 的 消息 提供 了 安全 ， 它 主要 设计 来 同 已 有 的 电子 邮件 系统 一 起 工作 。- 一 
个 PEM 消 息 基 本 是 一 个 由 PEM 保 护 的 正常 邮件 消息 。 简 单 消息 完整 性 检查 (Messge Integrity 
Check，MIC ) 消息 提供 了 完整 性 和 认证 检查 ， 但 没有 提供 任何 机 密 性 检查 。 另 一 种 类 型 的 
PEM MIC 消 息 同 简单 MIC 消 息 提供 了 一 样 的 服务 ， 但 是 它 包括 了 一 个 附加 的 编码 步骤 ， 从 而 
允许 消息 可 以 通过 多 种 邮件 网 关 。 这 类 消息 可 以 保证 完整 性 和 签名 信息 不 会 被 算 改 。 最 后 一 
种 消息 类 型 为 完整 性 组 件 和 认证 组 件 添加 了 机 密 性 。 多 种 私有 和 公开 密 钥 加 密 算 法 都 可 用 于 
完整 性 和 认证 保护 。 当 前 ， 使 用 加 密 的 消息 类 型 只 使 用 DES 加 密 算法 。 


21.1.5 良好 保密 


这 是 一 项 名 字 和 奇怪 来 历 更 奇怪 的 技术 。 一 个 名 为 Phil Zimmerman 的 计算 机 程序 员 开 发 了 
一 个 加 密 程序 ， 他 有 意 把 该 程序 用 做 共享 软件 。Zimmerman 写 这 个 程序 的 意图 在 于 为 计算 公 
众 提供 强大 的 加 密 能 力 。 不 幸 的 是 ，PGP ( Pretty Good Privacy， 良 好 保密 ) 的 早期 版 本 使 用 
了 RSA 加 密 算法 ， 这 侵犯 了 RSA 的 专利 权 。 该 程序 的 一 份 拷贝 被 传 到 了 因特网 上 。 因 为 该 程 
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序 是 即时 可 用 的 ， 因 此 它 迅 速成 为 加 密 安 全 的 非 正式 标准 一 一 尽管 这 在 技术 上 是 违法 的 。 该 
程序 的 合法 和 受 支持 版 本 现在 也 已 经 有 了 , 但 是 它们 仍然 受到 美国 出 口 限制 的 约束 。 

良好 保密 是 一 个 通用 的 加 密 程序 ， 它 使 用 公开 密 钥 加 密 来 提供 保密 和 认证 。 由 于 它 的 灵 
活性 和 相对 较 低 的 成 本 ，PGP 正 逐渐 变 得 很 流行 。 它 为 电子 邮件 提供 了 机 密 性 、 数 据 源 认证 、 
消息 完整 性 以 及 源 服务 认可 。 它 设计 来 同 现 有 的 电子 邮件 系统 一 起 工作 ， 主 要 是 那些 在 因 特 
网 使 用 的 系统 。 国 际 数据 加 密 算法 (International Data Encryption Algorithm ，IDEA ) 用 于 数 
据 加 密 ，RSA 算 法 用 于 加 密 密 钥 管理 ，MD5 ( 消息 摘要 5 ) 或 者 RSA 用 于 消息 完整 性 检查 和 数 
字 签 名 。 相 对 来 说 ，IDEA 算 法 是 比较 新 的 ， 它 是 由 瑞士 开发 的 一 个 128 位 密 钥 算法 。 

PGP 一 直 处 于 侵权 和 出 口 限制 的 争论 之 中 。PGP 的 早期 版 本 有 潜在 的 专利 冲突 危险 。PGP 
的 2.6.1 版 使 用 了 RSAFEF 工 具 箱 进行 公开 密 钥 加 密 ， 对 于 非 商 业 应 用 来 说 它 是 合法 的 ， 但 仍 
然 受 到 出 口 限制 。 一 个 称 做 2.6ui ( 非 官 方 国际 ) 的 PGP 版 本 ， 存 在 于 美国 境外 ， 它 违反 了 
RSA 专 利 。PGP 2.4 版 是 一 个 商业 版 本 ， 完 全 许可 它 用 于 商业 目的 。 尽 管 PGP 的 起 步 有 点 踏 喘 ， 
但 是 现在 它 已 经 广泛 使 用 以 保证 因特网 邮件 的 安全 性 。 


21.1.6 同 电 子 邮 件 有 关 的 问题 


为 解决 分 布 式 邮件 系统 所 带 来 的 挑战 ， 业 界 已 经 进行 了 大 量 的 努力 。 但 不 幸 的 是 ， 许 多 

问题 依旧 存在 。 下 面 所 列 的 是 在 调查 分 布 式 邮 件 安 全 的 时 候 应 该 考虑 的 一 些 问题 。 

。 PEM 同 X.400 安 全 消息 传递 不 兼容 。 这 两 套 端 到 端 安全 功能 不 能 互连网 。 因 特 网 邮件 协 
议 不 同 于 X.400 邮 件 协议 ， 但 是 二 者 共享 同一 个 底层 体系 结构 模型 。 一 个 用 于 在 X.400 和 
因特网 邮件 环境 之 间 进 行 互 连 的 规范 已 经 开发 出 来 了 。 

。PEM 是 基于 层次 化 组 织 概念 的 ， 而 PGP 是 基于 独立 分 布 式 网 络 的 。PEM 更 适合 于 公司 和 
组 织 使 用 ， 而 PGP 则 对 使 用 因特网 邮件 的 个 体 用 户 更 为 有 用 。 

。 对 于 许多 用 来 提供 安全 的 加 密 机 制 来 说 ， 加 密 密 钥 证 明和 分 发 是 一 个 门 题 所 在 。 有 应 该 如 
何 提供 这 种 服务 呢 ? 由 谁 来 提供 呢 ? 

。 如 果 使 用 不 同 的 邮件 文本 应 用 程序 ， 那 么 一 定 要 小 心 讶 慎 。 例 如 ， 空格 的 对 齐 或 者 插入 
可 能 会 影响 消息 完整 性 检查 。 

。 数 据 加 密 机 制 同 数据 压缩 算法 不 可 能 兼容 。 

。 加 密 算法 是 否 受 到 出 口 限制 ? 是 否 有 可 能 侵犯 其 他 产品 的 专利 ? 这 一 点 务必 要 注意 。 早 
期 版 本 的 PGP 就 是 一 个 好 例子 。 

。 使 用 DES 算 法 的 私有 密 铝 加密 要 比 公开 密 钥 加 密 算法 〈 例如 RSA 或 者 PGP ) 使 用 更 少 的 
处 理 资源 。 


21.2 Lotus Notes 


在 第 9 章 中 ， 我 们 把 群 件 引 入 到 分 布 式 系统 的 讨论 中 。Lotus Notes 是 一 个 非常 复杂 的 群 件 
产品 ， 它 更 像 一 个 计算 机 会 议 产 品 而 不 是 一 个 邮件 系统 或 者 分 布 式 事务 处 理 器 。 该 该 产品 是 由 
Iris Associates 同 Lotus 在 80 年 代 末 期 合作 开发 的 。Lotus Notes 由 以 下 组 件 所 组 成 ， 一 个 文档 数 
据 库 服 务 器 、 一 个 邮件 服务 器 、 一 个 用 来 路 由 邮件 和 服务 的 服务 器 基础 结构 、 一 个 客户 机 
GUI 环境 、 安 全 服务 、 分 布 式 服务 以 及 一 个 应 用 程序 开发 环境 。Lotus Notes 的 基础 概念 是 在 

一 个 已 定义 的 用 户 组 中 ， 以 一 个 良好 的 组 织 方式 、 协 调 地 共享 文档 。 


ee 
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在 Lotus Notes 中 ,文档 和 数据 库 的 定义 同 其 常规 定义 有 所 不 同 。 文 档 概 念 是 Notes 的 基础 ， 
它 指 的 是 把 多 个 多 媒体 元 素 ( 数据 字段 、 文 本 、 图 形 、 音 频 和 视频 ) 组 织 在 一 起 的 一 个 定义 
良好 的 单元 。 这 些 相关 文档 的 集合 存储 在 数据 库 中 。 检 索 文档 可 以 使 用 任何 标识 的 文档 属性 
或 者 文档 内 容 。 文 档 数据 库 可 以 使 用 一 个 辨识 图 标 和 标题 提供 给 用 户 ， 并 包括 帮助 面板 和 说 
明 数 据 在 内 。 一 个 由 数据 库 组 成 的 集合 构成 了 Notes 服 务 器 上 的 文档 存储 器 。 

Notes 服 务 器 和 Notes 客 户 机 通过 复制 来 共享 Notes 数 据 库 ， 并 定期 同步 化 数据 库 以 保持 一 
致 。Notes 中 没有 主 服 务 器 概念 。 复 制 机 制 在 数据 库 复 制品 之 间 以 双向 模式 运行 ， 从 而 保证 所 
有 的 复制 数据 库 都 是 同步 的 。 复 制 动 作 可 以 以 一 个 经 过 选择 的 频率 来 进行 ， 并 在 一 个 后 台 过 
程 中 无 人 值守 操作 。 复 制 的 目标 可 以 是 全 部 也 可 以 是 部 分 文档 。 同 步 化 复制 的 数据 库 有 两 种 
方法 。 基 于 服务 器 的 复制 一 一 通常 是 无 人 值守 特征 的 调度 事件 ， 基 于 客户 机 的 复制 一 一 通常 
由 用 户 请 求 发 起 。 移 动用 户 可 以 把 复制 的 数据 库存 储 在 他 的 笔记 本 电脑 上 ， 当 用 户 登 录 时 ， 
文档 就 会 被 同步 。 文 档 的 不 同 更 新 版 本 标记 成 对 主 文档 的 响应 ， 从 而 避 开 了 并 发 更 新 问题 。 
实际 上 ， 最 近 的 响应 可 能 不 是 最 新 的 。 


21.2.1 Lotus Notes 的 安全 性 


Lotus Notes 的 安全 性 是 以 三 种 方式 来 提供 的 。Notes 提 供 了 安全 机 制 来 保护 对 Notes 文 档 的 
访问 、 对 Netes 文 档 用 户 的 认证 和 授权 以 及 Notes 文 档 内 容 的 机 密 性 。 这 些 数据 安全 机 制 包 括 
文档 读 访 问 列 表 、 数 据 字 段 加 密 以 及 访问 控制 列表 ( ACL ) 的 使 用 。 . 

图 21-1 说 明了 Notes 安 全 机 制 的 层次 结构 。 对 于 用 户 或 者 其 他 Notes 服 务 器 来 说 ， 第 一 人 口 
点 是 在 服务 器 级 上 。 如 果 要 访问 一 个 服务 器 ， 那 么 
访问 者 必须 要 有 该 服务 器 所 接受 的 一 个 证 书 。 如 果 
服务 器 或 者 用 户 授权 使 用 数据 库 ACL， 那 么 它 (他 ) 
就 被 授予 了 数据 库 级 访问 权 。 

表 21-2 概 括 了 不 同 的 ACL 级 别 所 授予 的 访问 权 
限 。 只 有 在 通过 Lotus Notes 来 访问 数据 库 的 时 候 ， 
数据 库 ACL 才 有 用 。 数 据 库 可 以 拷贝 到 Notes 环 境 之 
外 。 数 据 库 ACL 级 别 用 于 管理 对 层次 结构 图 中 的 更 
低级 组 件 的 访问 。 如 果 数 据 字段 加 密 了 ， 那 么 用 户 





必须 要 有 正确 的 加 密 密 钥 。 图 21-1 Notes 安 全 性 的 层次 结构 
表 21-2 访问 控制 列表 级 别 

无 访问 权 用 户 不 能 访问 该 数据 库 ， 服 务 器 不 能 复制 它 

委托 人 用 户 可 以 向 数据 库 提交 文档 但 是 不 能 读 取 数据 库 ， 服务 器 不 能 复制 数据 库 

读者 用 户 只 能 读 文档 ， 服 务 器 只 能 接收 对 文档 的 改变 

作者 用 户 可 以 读 取 所 有 的 文档 并 编辑 或 删除 他 们 创建 的 文档 ， 服务 器 可 以 接收 文档 并 复制 改变 
或 者 删除 一 如 果 服 务 器 拥有 该 文档 的 话 

编辑 者 用 户 可 以 读 取 和 编辑 数据 库 中 的 所 有 文档 ， 服务 器 可 以 复制 新 文档 和 改变 并 执行 删除 功能 
一 一 如 果 允 许 的 话 

设计 者 用 户 可 以 改变 数据 库 结 构 并 编辑 所 有 文档 ， 服务 器 可 以 执行 除了 复制 访问 控制 改变 以 外 的 
所 有 功能 

管理 员 除了 拥有 设计 者 的 所 有 访问 权 以 外 ， 该 级 别 还 可 以 控制 访问 控制 列表 、 复制 优先 线 以 及 


除数 据 库 ， 服 务 器 可 以 复制 所 有 改变 ， 包 括 访问 控制 列表 在 内 
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访问 控制 列表 用 于 判断 用 户 或 者 服务 器 是 否 可 以 访问 数据 库 ， 如果 可 以 访问 的 话 ， 该 用 
户 或 服务 器 可 以 对 数据 库 进行 什么 操作 ， 用 户 具有 什么 数据 库 角 色 或 者 安全 级 别 。 对 于 每 个 
数据 库 来 说 ，ACL 是 惟一 的 。 一 个 复制 的 数据 库 可 以 具有 一 个 同 源 ACL 不 同 的 访问 控制 列表 。 
ACL 中 的 项 可 以 是 用 户 名 、 服 务 器 名 或 者 由 用 户 名 和 【或 ) 服务 器 名 所 组 成 的 集合 一 一 以 组 
名 的 形式 。 


21.2.2 用户 认证 


从 前 面 可 知 , 访问 控制 是 依赖 于 用 户 标识 的 。 为 提供 认证 和 机 密 福 ，Notes 同 时 使 用 了 公 
开 密 钥 加 密 和 私有 密 钥 加 密 。 公 开 密 钥 加 密 用 于 用 户 认证 ， 而 私有 密 钥 加 密 用 于 机 密 性 。 
Lotus Notes 是 RSA 公 开 密 钥 加 密 技 术 的 早期 用 户 之 一 。 然 而 ， 由 于 美国 出 口 的 限制 ，Lotus 
Notes 具 有 两 种 版 本 一 一 分 别针 对 与 北美 境内 和 境外 。Notes 的 国际 版 使 用 了 一 个 不 同 的 加 密 
算法 ， 该 算法 使 用 了 更 短 的 密 钥 。 由 于 这 两 种 版 本 的 存在 ， 每 个 用 户 具 有 两 个 公开 密 钥 对 ， 
一 个 大 约 $12 位 的 长 密 钥 和 一 个 大 约 400 位 的 短 密 钥 。 

Notes 认 证 过 程 在 用 户 和 服务 器 之 间或 者 两 个 服务 器 之 间 使 用 了 一 个 询问 -响应 协议 。 当 
用 户 试图 与 Notes 服 务 器 建立 一 个 会 话 时 ， 他 们 首先 向 服务 器 发 送 他 们 的 标识 符 (1D )， 其 中 
包括 有 他 们 的 公开 密 钥 和 一 个 证 书 列表 。 证 书 的 作用 是 使 用 用 户 的 公开 密 钥 来 验证 用 户 的 名 
字 一 一 假设 服务 器 信任 颁发 证 书 的 认证 中 心 。 然 后 ， 服 务 嚣 向 用 户 发 送 一 个 询问 数字 ， 接 着 
用 户 使 用 自己 的 私有 密 钥 来 加 密 该 数字 并 把 它 发 回 给 服务 器 。 然 后 服务 器 使 用 用 户 的 公开 密 
钥 来 解密 该 数字 ， 如 果 前 后 两 个 数字 相 匹 配 ， 那 么 用 户 就 通过 了 认证 。 然 后 ， 用 户 也 使 用 同 
样 的 过 程 来 认证 服务 器 。 

Notes 文 档 的 机 密 性 可 以 在 文档 级 上 提供 ， 也 可 以 通过 对 具体 字段 进行 加 密 来 提供 。 用 于 
文档 加 密 的 密 钥 可 以 由 用 户 来 生成 ， 并 添加 到 他 们 的 ID 上 。 设 计 者 级 和 管理 员 级 控制 都 必须 
要 启用 文档 字段 加 密 。 如 果 其 他 用 户 要 访问 文档 ， 那 么 他 们 必须 要 有 合适 的 加 密 密 钥 。 这 可 
以 通过 使 用 email 工 具 或 者 使 用 一 个 特殊 的 对 话 框 来 实现 。 另 外 ， 数 字 签 名 也 可 以 附加 到 文档 
中 的 字段 上 。 


21.2.3 Lotus Notes 邮 件 


Lotus Notes 提 供 了 电子 邮件 工具 ， 不 过 它们 只 是 被 看 做 包含 邮件 文档 的 另 一 个 数据 库 。 
所 有 的 Notes 工 具 都 可 用 来 管理 邮件 文档 。 使 用 一 个 基于 VIM 的 前 端 ，Notes 可 以 用 做 后 端 消 
息 存 储 。Notes 也 提供 了 同 许多 其 他 的 邮件 系统 进行 互 连 的 网 关 。 Notes 数 据 库 中 的 用 户 可 以 
使 用 同 X.500 兼 容 的 命名 ， 从 而 可 以 同 其 他 基于 X.500 的 系统 进行 互 操作 。 为 了 安全 邮寄 和 存 
储 ， 所 有 的 邮件 都 可 以 使 用 RSA 公 开 密 钥 机 制 来 进行 加 密 。 发 送 者 使 用 接收 者 的 公开 密 钥 来 
加 密 消息 ， 而 接收 者 则 使 用 他 的 私有 密 锅 来 解密 消息 。 在 这 种 方式 下 ， 只 有 接收 者 才能 够 解 
密 消 息 。 另 外 也 可 以 使 用 电子 签名 来 签名 文档 。 当 用 户 打开 文档 时 ，Notes 使 用 电子 签名 来 验 
证 发 送 者 的 标识 。 1 
21.3 下 一 步 的 展望 


因特网 文档 工具 和 WwWW 服 务 正 浮 之 和 欲 出 。 超 文本 传输 协议 ( Hypertext Transport 
Protocol，HTTP ) 服务 器 和 超 文本 标记 语言 《Hypertext Markup Language， HTML ) 浏览 器 


ee a 
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提供 了 类 似 于 Notes 观 感 的 文档 服务 ,但 是 它 还 没有 达到 Notes 的 规模 和 能 力 。HTML 文 档 具 有 
文档 导航 能 力 ， 这 为 处 理 广泛 分 布 的 文档 提供 了 方便 和 高 效率 。 在 许多 平台 上 ， 访 问 HTML 
文档 是 非常 容易 的 。 然 而 ，HTMEL 文 档 的 开发 和 安全 性 还 不 能 和 Notes 同 日 而 语 。 

Notes 的 下 一 版 本 将 会 提供 从 HTML 到 Notes 的 转换 功能 、HTTP 导 航 功 能 ， 以 及 对 Java 的 
支持 。 这 意味 着 可 以 通过 Web 浏 览 器 和 通常 的 Web 客 户 软件 来 访问 Notes 文 档 。 这 还 意味 着 
Notes 客 户 端 也 可 以 用 做 一 个 Web 浏 览 器 。 如 果 Notes 文 档 中 包含 一 个 Web 文 档 引 用 (通过 一 个 
URL 链 接 )， 那 么 Notes 可 以 获取 该 网 页 。 

日 历 和 工作 流 技术 也 是 依赖 于 一 个 定义 良好 的 基础 结构 的 分 布 式 应 用 程序 。 排 时 间 表 和 
日 历 工具 早已 成 为 群 件 技术 的 一 部 分 。 业 界 也 提出 了 几 个 用 于 日 历 功能 的 标准 。 厂 商 独 立 日 
历 (Vendor Independent Calendaring，VIC ) API 是 Lotus 和 IBM 支 持 的 。Microsoft 也 在 其 扩展 
MAPI 中 包括 了 日 历 和 排 时 间 表 工具 ， 而 XAPIA 则 把 重点 放 在 日 历 交换 上 。 当 把 排 时 间 表 和 日 
历 技 术 同 工作 流 工具 结合 在 一 起 的 时 候 ， 就 可 以 更 好 地 实现 办 公 自 动 化 。 究 况 这 是 会 提高 企 
业 办 公 效 率 ， 还 是 会 让 计算 机 更 多 地 控制 我 们 的 生活 ， 还 有 待 时 间 来 说 明 。 


21.4 小 结 


电子 邮件 系统 是 分 布 式 系统 的 最 早 实现 之 一 。 许 多 针对 与 邮件 的 技术 和 标准 使 得 其 他 分 
布 式 系统 走向 成 熟 。Lotus Notes 是 一 个 非常 成 熟 的 群 件 系统 ， 它 着 眼 于 文档 的 分 布 化 一 不 
管用 户 位 于 何 处 ， 他 们 都 可 以 访问 和 使 用 文档 。 通 过 使 用 Notes， 一 个 高 效率 的 工作 组 可 以 分 
布 在 一 幢 大 楼 内 ， 也 分 散在 世界 各 地 ! 因特网 的 发 展 将 继续 影响 技术 和 标准 的 开发 和 成 熟 。 
在 前 面 两 章 中 ， 我 们 已 经 探讨 了 如 何 让 分 布 式 环境 工作 起 来 。 在 下 面 几 章 中 ， 我 们 来 看 一 下 
如 何 真正 实施 分 布 式 环境 。， 
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系统 管理 SNMP 足 够 强大 吗 ? 








访问 控制 解决 方案 网 络 事件 管理 
单一 登录 动态 监视 

密 钥 认证 Andromeda 

网 络 管理 安全 忠告 








什么 是 SNMP? 飞 席 队 


在 安全 解决 方案 的 部 署 中 ， 管 理 是 一 个 重要 的 考虑 事项 。 一 个 不 可 管理 的 解决 方案 是 不 
能 真正 发 挥 作用 的 ， 并 且 非 常 容易 受到 破坏 。 在 分 布 式 环境 中 ， 特 权 是 在 系统 到 系统 的 基础 
上 进行 扩展 的 ， 因 而 访问 特权 的 及 时 删除 是 一 个 很 常见 的 问题 。 如 果 没 有 集中 式 的 管理 控制 ， 
那么 员工 在 离开 公司 以 后 仍然 可 以 保留 其 访问 权限 。 除 非 本 地 管理 员 撤 销 它 们 ， 否 则 它们 将 
一 直 存 在 。 

男 一 个 问题 是 ， 本 地 系统 管理 职责 中 有 太 多 不 一 致 的 地 方 。 系 统管 理 员 具有 不 同 的 教育 
程度 、 工 作 经 验 以 及 工作 量 。 有 些 可 能 是 全 职 管理 员 ， 有 些 可 能 是 兼职 工作 的 ， 并 只 在 需要 
的 时 候 才 工 作 。 尽 管 每 个 系统 都 有 自己 的 系统 管理 员 来 维护 ， 但 是 许多 同系 统管 理 员 相关 的 
因素 导致 了 不 同 的 系统 具有 完全 不 同 的 安全 性 级 别 。 

因为 人 侵 者 可 以 寻找 到 系统 中 的 漏洞 并 进而 用 做 其 人 侵 的 基础 ， 所 以 提高 整体 计算 群体 
的 一 般 安 全 等 级 是 非常 重要 的 。 如 果 不 使 用 一 个 集中 式 的 管理 工具 来 实施 一 套 最 低 安 全 标准 ， 
那么 如 何 解决 系统 管理 不 一 致 的 问题 ? 依靠 本 地 管理 员 的 专家 经 验 来 捕 握 入侵 者 吗 ? 或 者 ， 
这 是 一 种 能 够 自己 成 为 集中 式 方 法 的 行为 吗 ? 

尽管 分 布 式 系统 和 安全 管理 的 成 本 通常 是 隐藏 的 ， 但 对 于 大 多 数组 织 来 说 ， 这 是 一 个 非 
常 值得 注意 的 问题 。 组 织 应 该 把 安全 问题 交 给 一 组 经 过 良好 培训 的 人 员 去 解决 ， 而 不 是 把 它 
们 委托 给 本 地 管理 员 去 做 。 大 多 数组 织 都 没有 精力 和 财力 对 每 个 系统 管理 员 进 行 所 有 计算 安 
全 方面 的 培训 和 教育 。 尽 管 需要 向 管理 员 培 训 一 些 计算 安全 知识 ， 但 是 更 实际 可 行 的 做 法 是 
让 少数 几 个 人 成 为 安全 专家 。 
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集中 式 安 全 功能 也 已 经 出 现在 用 户 群体 中 了 。 谁 也 不 愿意 非得 记 住 多 个 用 户 ID 和 密码 。 
集中 式 解决 方案 可 以 利用 单一 登录 技术 ， 这 种 技术 的 认证 机 制 可 以 被 很 多 系统 和 应 用 程序 所 
使 用 。 通 过 使 用 集中 式 系统 管理 解决 方案 ， 本 地 管理 工作 的 总 体 需 求 也 降低 了 。 这 种 做 法 具 
有 另外 一 种 优点 ， 即 它 可 以 减少 需要 具有 本 地 系统 高 级 特权 例如 UNIX 根 访问 ) 的 用 户 的 
数量 。 

审计 功能 的 集中 化 也 是 一 个 发 展 所 趋 ， 它 可 以 跟踪 许多 系统 上 的 用 户 动作 ， 而 不 是 依赖 
于 不 同系 统 上 的 独立 审计 跟踪 。 集 中 式 的 报警 机 制 可 以 提供 快速 探查 非法 行为 的 能 力 ， 这 要 
比 依靠 单独 的 系统 管理 员 来 检查 人 侵 者 的 做 法 快 得 多 。 


安全 功能 的 公共 机 制 和 集中 管理 是 一 件 好 事 吗 ? 一 种 观点 认为 分 散 式 的 、 非 集中 式 
的 安全 控制 是 理想 的 。 其 根据 是 单一 控制 不 管 有 多 强大 ， 总 是 可 以 突破 的 。 但 是 要 突破 
多 级 控制 则 困难 得 多 。 这 种 观点 认为 ， 如 果 不 使 用 多 样 化 的 安全 控制 ， 那 么 攻击 者 只 要 
突破 一 点 就 可 以 破坏 整个 系统 。 因 而 ， 安 全 的 集中 是 一 种 糟糕 的 做 法 ， 就 是 因为 它 会 成 
为 单一 突破 口 。 这 种 观点 是 值得 注意 的 ， 它 并 不 是 一 无 是 处 。 补 偿 式 控制 当然 要 比 单一 
控制 更 强大 。 作 为 对 集中 式 观 点 和 分 散 式 观 点 之 争 的 结果 ， 我 们 可 以 把 本 地 控制 和 集中 
控制 结合 起 来 使 用 ， 从 而 更 好 地 保证 系统 安全 。 


有 很 多 原因 促使 我 们 为 安全 问题 找到 一 个 公共 的 、 集 中 式 的 解决 方案 。 首 先 ， 一 个 集中 
的 解决 方案 可 以 为 整个 计算 群体 实施 标准 ， 因 而 能 够 提高 整体 安全 级 别 。 并 且 ， 通 过 把 功能 
集中 到 少数 经 过 良好 培训 的 、 可 信任 的 人 员 ， 集 中 式 解决 方案 还 可 以 降低 安全 和 系统 管理 的 
总 体 成 本 。 对 于 个 体 用 户 来 说 ， 集 中 式 解决 方案 可 以 为 其 提供 单一 登录 能 力 ， 因 而 消除 了 对 
多 个 用 户 ID 和 密码 的 需要 。 集 中 式 安全 管理 也 限制 了 需要 高 级 访问 特权 的 用 户 数量 。 集 中 式 
安全 管理 具有 调查 用 户 的 责任 ， 当 非法 行为 可 以 定向 到 个 体 用 户 上 时 ， 对 这 种 行为 的 警报 和 
检查 可 以 变 得 更 有 效率 。 最 后 ， 集 中 式 审计 可 以 对 跨越 多 个 平台 的 用 户 行为 进行 统一 的 跟踪 。 

在 本 章 中 ， 我 们 将 探讨 一 下 分 布 式 环境 中 的 集中 管理 安全 解决 方案 。 这 些 解决 方案 大 至 
分 为 如 下 几 组 : 

。 系统 管理 。 

。 访 问 控制 。 

。 单 一 登录 。 

。 密 钥 管 理 。 

“网 络 管理。 

* 事件 管理 。 

同 前 面 的 章节 一 样 ， 我 们 的 目的 并 不 是 评论 某 个 产品 的 功能 和 优点 ， 而 是 对 如 何 实现 这 
种 解决 方案 给 出 一 个 总 体 指示 。 我 们 将 根据 每 种 解决 方案 的 类 型 来 看 一 下 所 涉及 到 的 问题 ， 
并 给 出 通用 的 解决 思路 。 


22.1 系统 管理 


集中 式 系统 管理 产品 所 执行 的 任务 面 很 宽 ， 其 中 包括 用 户 账号 的 维护 、 数 据 备份 以 及 打 
印 假 脱 机 服务 。 这 类 产品 有 Computer Associates 公 司 的 CA UNICENTER、 惠普 公司 的 
OpenView 系 统管 理 系列 产品 以 及 Tivoli Systems 公 司 提供 的 管理 工具 。 这 些 产品 提供 了 集中 管 
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理 大 量 系统 的 能 力 。 一 般 情况 下 ， 它 们 也 提供 了 对 从 个 人 工作 站 到 大 型 机 环境 在 内 的 不 同 平 
台 的 支持 。 这 类 产品 一 般 也 支持 包括 UNIX 和 Novell Netware 在 内 的 不 同 操作 环境 。 通 过 把 管 
理 任务 集中 起 来 ， 这 些 产品 至 少 是 降低 了 对 本 地 专家 和 支持 的 需要 ( 如 果 没 有 消除 的 话 )。 


今天 ， 很 多 系统 都 是 由 位 于 很 远 距离 的 管理 员 管 理 和 支持 的 。 我 们 的 本 地 UNIX 服 务 
器 是 由 一 个 2S00 英 里 外 的 小 组 支持 的 。 惧 一 的 本 地 管理 工作 就 是 每 天 傍晚 更 换 备 份 磁带 。 
在 我 们 本 地 办 公 室 里 ， 没 人 知道 系统 的 超级 用 户 密码 。 









很 多 产品 都 具有 一 个 在 所 有 平台 上 都 容易 使 用 的 界面 ， 这 使 得 管理 人 员 在 执行 公共 安全 
任务 时 无 需 具有 太 多 的 专家 经 验 。 因 此 ， 很 多 普通 的 安全 管理 任务 ， 例 如 用 户 维护 等 ， 都 可 
以 委托 给 一 个 中 心 授权 体 去 完成 。 

系统 管理 产品 提供 了 很 多 安全 功能 ， 其 中 包括 : 

。 认 证 的 集中 管理 ， 其 中 包括 用 户 ID 的 维护 和 密码 策略 的 实施 。 

。 安 全 控制 机 制 的 应 用 ， 例 如 日 历 访问 限制 。 

。 用 户 访 问 权 限 到 资源 的 映射 。 

。 对 控制 应 用 中 的 脆弱 点 或 者 漏洞 进行 监视 。 

。 集 中 化 的 审计 跟踪 ， 包 括 对 失败 访问 尝试 的 监视 。 

对 用 户 ID 以 及 相关 的 用 户 ID 号 进行 集中 式 控制 可 以 解决 很 多 问题 。 首 先 ， 资 源 访问 权限 
是 在 用 户 ID 的 基础 上 授予 的 。 如 果 两 个 用 户 被 给 与 同样 的 用 户 ID ， 那 么 其 中 每 个 都 可 以 访问 
另 一 个 的 资源 。 集 中 式 管 理解 决 方案 支持 用 户 ID 和 用 户 ID 号 的 一 致 指定 。 

普通 用 户 对 安全 的 最 常见 的 抱怨 是 他 们 必须 要 记 住 多 个 用 户 ID 和 密码 。 大 多 数 系 统管 理 
解决 方案 都 提供 了 单一 登录 能 力 。 例 如 ，Tivoli 为 Kerberos 认 证 模型 提供 了 管理 支持 。 这 人 允许 
用 户 只 需要 被 解决 方案 提供 的 授权 中 心 认 证 一 次 。 不 幸 的 是 ， 单 一 登录 工具 一 般 很 少 支持 每 
个 平台 、 操 作 系 统 或 者 应 用 程序 。 - 

系统 管理 解决 方案 解决 的 另 一 个 问题 是 用 户 访问 权限 的 控制 问题 。 在 分 布 式 计算 环境 中 ， 
单一 用 户 可 能 可 以 访问 许多 系统 和 资源 。 如 果 不 使 用 一 个 公共 的 用 户 ID， 那 么 这 些 资源 和 访 
问 特权 在 不 同系 统 上 的 标识 可 能 会 非常 麻烦 。 如 果 使 用 集中 式 系统 管理 ， 那 么 在 员工 离开 组 
织 以 后 ， 管 理 员 可 以 很 容易 标识 和 撤消 该 员工 曾经 访问 的 资源 。 

因为 认证 是 集中 管理 的 ， 所 以 组 织 不 仅 可 以 规定 而 且 还 可 以 实施 安全 策略 。 例 如 ， 解 决 
方案 要 求 用户 每 隔 30 天 改变 其 密码 。 如 果 没 有 一 个 中 心 系统 ， 那 么 策略 就 会 留 给 独立 系统 管 
理 员 去 实施 。 系 统管 理解 决 方案 所 涉及 到 至 少 是 部 分 涉及 到 ) 的 另 一 个 问题 是 审计 跟踪 的 
集中 化 。 因 为 认证 是 集中 管理 的 ， 并 且 可 以 实施 公共 用 户 ID， 所 以 集中 跟踪 用 户 是 有 可 能 的 。 
中 心 审计 跟踪 通常 不 是 全 面 的 ， 它 的 大 部 分 数据 都 依靠 本 地 审计 跟踪 为 其 提供 。 这 意味 着 大 
部 分 的 用 户 行为 审计 都 是 本 地 审计 跟踪 而 不 是 中 心 审计 跟踪 。 

集中 式 系统 管理 解决 方案 对 于 每 种 情况 来 说 都 是 正确 的 吗 ? 绝对 不 是 ! 首先 ， 有 些 解决 
方案 允许 集中 管理 安全 功能 ， 但 实施 功能 却 是 本 地 式 的 。 在 这 种 情况 下 ， 我 们 需要 使 用 本 地 
访问 控制 来 控制 安全 。 集 中 管理 下 的 系统 仍然 具有 前 面 讨论 过 的 所 有 安全 问题 和 限制 。 明 文 
密码 在 LAN 上 的 暴露 问题 ， 在 集中 式 解 决 方案 中 仍然 存在 ， 而 且 危 险 更 大 。 入 侵 者 只 要 在 
LANL 发 现 一 个 密码 就 可 以 访问 许多 系统 和 应 用 程序 。 

更 重要 的 是 ， 安 全 管理 只 是 这 类 工具 所 涉及 到 的 一 个 领域 。 系 统管 理解 决 方案 中 所 包括 


et re rete ee re 


216 第 四 部 分 解决 问题 





的 其 他 功能 ， 如 集中 式 数 据 备份 和 打印 假 脱 机 ， 可 能 是 不 需要 的 。 既 然 厂商 不 愿意 把 安全 组 
件 从 全 部 管理 解决 方案 产品 中 单独 出 来 ， 那 么 你 只 好 多 花 鬼 枉 钱 去 买 一 些 用 不 着 的 功能 。 最 
后 ， 对 于 一 个 组 织 来 说 ， 并 不 是 它 所 使 用 的 所 有 计算 平台 都 受到 某 个 系统 管理 解决 方案 的 支 
持 。 

对 于 那些 希望 把 安全 问题 作为 整体 系统 管理 问题 中 的 一 部 分 来 解决 的 组 织 来 说 ， 系 统管 
理工 具 可 以 为 其 提供 一 个 解决 方案 。 在 采用 一 个 系统 管理 解决 方案 之 前 ， 组 织 最 好 把 自己 的 
安全 需求 同 工 具 的 能 力 进行 详细 的 分 析 比 较 。 


22.1.1 访问 控制 解决 方案 


访问 控制 解决 方案 为 操作 系统 提供 了 附加 控制 。 这 些 类 型 的 解决 方案 存在 于 多 种 计算 环 
境 上 ， 这 包括 DOS、Windows、0S/2 和 UNIX。 访 问 控制 解决 方案 允许 密码 策略 的 实施 ， 提 供 
了 对 系统 资源 访问 的 控制 ， 并 且 提 供 了 用 户 行为 的 审计 跟踪 。 认 证 过 程 的 保护 也 是 它 的 一 个 
标准 功能 。 许 多 解决 方案 可 以 防止 密码 在 网 络 上 被 探查 到 ， 还 有 许多 产品 提供 了 对 替代 密码 
技术 的 支持 。 例 如 ， 有 些 访问 控制 厂商 提供 了 一 次 密码 集成 技术 和 数字 密码 生成 器 。 使 用 这 
些 技术 ， 密 码 不 能 捕获 并 重 发 。 

这 些 解决 方案 提供 的 控制 能 够 基于 多 种 因素 来 指定 访问 权 ， 这 些 因素 包括 主机 到 主机 、 
日 历 以 及 访问 方法 ( 登录 、telnet、FTP 以 及 其 他 方法 等 )。 这 些 产品 还 支持 用 户 轮 廓 ， 其 中 包 
括 用 于 系统 管理 员 的 最 少 特权 策略 的 实现 。 用 户 动作 的 集中 式 审计 和 日 志 机 制 是 一 个 很 常见 
的 功能 ， 它 可 以 报告 控制 中 的 脆弱 点 。 

对 于 所 有 的 集中 式 安全 机 制 来 说 ， 一 个 重要 的 考虑 是 对 其 内 部 通信 的 保护 问题 。 许 多 集 
中 式 解决 方案 使 用 不 可 信 的 机 制 进行 通信 ， 如 使 用 不 加 密 的 远程 过 程 调用 通信 。 


22.1.2 单一 登录 


单一 登录 指 的 是 向 每 个 计算 机 和 应 用 程序 验证 用 户 只 需要 一 个 用 户 ID 和 密码 。 通 过 使 用 
单一 登录 技术 ， 用 户 就 不 必 为 LAN 服 务 记 住 一 个 用 户 ID 和 密码 ， 为 UNIX 记 住 第 二 个 密码 ， 再 
为 大 型 机 访问 记 住 第 三 个 密码 。 当 系统 中 添加 了 密码 时 效 需求 ， 但 没有 在 用 户 需 要 访问 的 多 
台 服 务 器 之 间 进 行 同步 时 ,许多 用 户 对 此 十 分 私 惧 。 如 果 用 户 必须 要 记 住 很 多 会 改变 的 密码 ， 
那么 很 自然 ， 他 们 会 记 下 这 些 需 要 的 密码 。 他 们 经 常会 把 这 些 密码 记 在 便签 条 上 ， 并 把 它 粘 
在 很 明显 的 地 方 ， 因 此 其 他 人 就 可 以 很 容易 地 读 取 这 些 密码 。 


我 们 曾经 研究 过 ， 通 过 检查 工作 区 域 来 发 现 用 户 的 密码 到 底 有 多 容易 。 我 们 发 现 ， 
终端 、 键 盘 以 及 桌子 抽 层 上 贴 有 很 多 便签 条 。 在 50% 以 上 的 工作 区 域 里 都 可 以 发 现 密码 。 








普通 用 户 的 恐惧 跟 计 算 机 支持 人 员 的 比 起 来 可 以 说 是 小 巫 见 大 巫 ， 后 者 一 般 要 访问 大 量 
的 系统 。 单 一 登录 解决 方案 通过 把 认证 功能 集中 起 来 ， 解 决 了 多 用 户 ID 和 密码 的 问题 。 使 用 
单一 登录 解决 方案 需要 注意 的 是 ， 它 们 必须 要 安全 地 进行 。 如 果 入 侵 者 能 够 发 现 一 个 用 户 的 
密码 ， 或 者 破坏 了 安全 性 ， 那 么 他 们 就 可 以 访问 该 用 户 可 以 访问 的 每 个 系统 上 的 每 个 账号 。 

当前 解决 单一 登录 问题 主要 有 三 种 方法 。 第 一 个 是 使 用 前 面 已 经 讨论 过 的 系统 管理 工具 
和 访问 控制 解决 方案 。 一 般 情况 下 ， 这 些 工 具 可 以 把 用 户 管理 扩展 到 它们 管理 的 所 有 平台 。 
这 也 为 系统 管理 工具 提供 了 -一 个 扩展 单一 登录 能 力 的 基础 。 不 幸 的 是 ， 很 多 这 样 的 解决 方案 
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有 具有 非常 脆弱 的 认证 功能 。 它 们 一 般 会 以 明文 形式 在 LAN 上 发 送 密码 。 但 是 如 果 要 把 这 些 产 
品 用 做 单一 登录 解决 方案 ,那么 一 个 最 大 的 限制 是 ， 它 们 不 能 照顾 到 一 个 组 织 所 需 的 全 部 计 
算 环境 。 

解决 单一 登录 问题 的 第 二 个 途径 是 使 用 过 程 编制 方法 。 过 程 编制 (有 时 也 称 做 屏幕 碎片 
化 ) 能 够 捕 提 用 户 的 击 键 动作 ， 并 在 以 后 进行 重 放 。 使 用 这 种 方法 ， 用 户 ID 和 密码 就 会 被 用 
户 可 以 访问 的 所 有 不 同系 统 和 应 用 程序 捕捉 。 过 程 编制 应 用 程序 保存 了 这 些 命 令 ， 并 起 到 了 
一 个 智能 前 端的 作用 。 当 提交 一 个 命令 或 者 点 击 一 个 图 标 时 ， 被 捕 提 的 命令 和 击 键 就 会 重 放 。 
这 种 方法 的 优点 是 它 可 以 被 很 多 操作 系统 或 应 用 程序 采用 。 它 的 一 个 主要 缺点 是 过 程 编制 应 
用 程序 必须 要 安全 地 保存 捕捉 的 命令 。 如 果 这 些 命令 能 被 人 侵 者 发 现 ， 那 么 它们 就 会 泄漏 用 
户 ID 和 密码 。 

当 把 过 程 编制 方法 用 在 客户 机 -服务 器 应 用 程序 中 时 ， 这 种 方法 就 会 暴露 出 它 的 第 二 个 缺 
点 。 在 这 种 应 用 程序 中 ， 可 能 不 会 给 与 用 户主 机 系统 上 的 一 个 真正 会 话 。 他 们 使 用 远程 过 程 
调用 之 类 的 方法 同 服务 器 进行 通信 。 在 这 种 情况 下 ， 登 录 过 程 需要 为 用 户 提供 证 明 他 们 已 经 
进行 了 登录 的 证 据 。 证 书 或 者 访问 令 牌 经 常用 于 此 目的 。OSF/DCE 使 用 的 Kerberos 模 型 就 是 
这 种 方法 的 一 个 好 例子 。 然 而 ， 对 于 大 多 数组 织 来 说 ， 对 每 个 应 用 程序 和 计算 系统 都 使 用 
Kerberos 或 者 类 似 的 技术 是 非常 不 现实 的 ， 原因 就 在 于 它们 太 复 杂 。 

最 近 几 个 月 来 ， 加 拿 大 和 美国 的 三 个 独立 的 、 不 相关 的 客户 在 分 析 单 一 登录 技术 。 他 们 
得 出 结论 ， 没 有 一 家 提供 商 能 够 满足 他 们 对 单一 登录 的 需求 。 好 消息 是 ， 现 在 的 提供 商 仍然 
要 继续 改进 其 产品 ， 并 为 之 提供 更 好 的 服务 。 并 且 ， 还 有 许多 新 的 厂商 要 进入 市 场 。 成 功 的 
解决 方案 将 会 是 那些 解决 了 安全 问题 、 容 易 使 用 、 并 且 支 持 多 种 平台 和 应 用 程序 的 产品 。 


22.1.3 密 钥 认证 


集中 式 安全 管理 解决 方案 需要 考虑 的 另 一 个 方面 是 加 密 密 钥 的 控制 问题 。 我 们 在 第 15 章 
中 已 经 讨论 过 ， 加 密 密 钥 的 保护 和 分 发 最 好 由 一 个 集中 式 的 函数 来 进行 。 对 于 大 多 数组 织 来 
说 ， 加 密 密 钥 的 分 发 和 维护 应 该 交 给 一 个 中 心安 全 组 去 做 ， 并 且 该 安全 组 不 能 直接 访问 计算 
系统 或 应 用 程序 。 这 种 方法 不 但 把 安全 功能 园 应 用 程序 支持 人 员 分 离开 ， 而 且 组 织 可 以 使 用 
一 个 非常 安全 的 中 心 站 点 。 


22.2 网 络 管理 


网 络 管理 工具 为 网 络 管理 员 提供 了 管理 复杂 的 企业 级 网 络 的 能 力 。HP 的 OpenView 网 络 节 
点 管理 器 就 是 一 个 很 好 的 例子 。 这 种 软件 能 够 为 多 种 网 络 组 件 产生 一 个 单一 的 、 简 化 的 视图 ， 
网 络 组 件 包括 路 由 器 、 网 桥 、 集 线 器 、 打 印 机 和 计算 机 。 这 种 软件 可 以 : 

. 提供 网 络 及 其 设备 的 一 个 中 心 视图 。 

,允许 对 网 络 设备 ( 例如 集线器 、 网 桥 和 路 由 器 ) 进行 集中 管理 。 

* 监视 网 络 流量 。 

. 自动 探查 添加 到 网 络 上 的 新 设备 。 机 

这 些 工具 所 提供 的 流量 过 滤 功能 也 可 以 应 用 到 安全 控制 上 。 增 强 网 络 安全 性 的 一 个 最 党 
用 的 方法 是 把 网 络 分 成 多 个 可 信子 网 。 用 来 实现 可 信子 网 的 方法 包括 分 离 网 络 、 限 制 对 网 络 
的 访问 以 及 根据 原 地 址 、 目 标 地 址 或 者 流量 类 型 (例如 TCP/IP 端 口号 ) 来 过 滤 流量 。 
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1. 分 离 网 络 

路 由 器 和 网 桥 可 用 来 把 本 地 子 网 从 公司 内 部 网 络 中 分 离 出 来 。 这 样 可 以 创建 可 信子 网 ， 
即 只 可 被 本 地 工作 组 中 的 成 员 和 可 信和 外 部 用 户 访问 的 子 网 。 除 了 被 特殊 指定 去 往 本 地 子 网 的 
那些 流量 ， 其 他 流量 都 会 被 一 个 网 络 设备 (例如 一 个 路 由 器 ) 禁止 进入 本 地 子 网 。 与 此 类 似 ， 
内 部 流量 也 被 限制 在 本 地 子 网 的 可 信 边 缘 内 部 。 在 这 种 情况 下 ， 本 地 流量 不 会 被 本 地 子 网 外 
部 的 用 户 监视 到 。 

2. 过 滤 流 量 

很 明显 ， 有 些 流量 必须 可 以 在 可 信子 网 和 内 部 网 络 之 间 传输 。 否 则 ， 把 了 于 网 连接 到 互联 
网 络 上 还 有 什么 意义 呢 ? 路 由 器 上 的 过 滤 表 可 以 用 来 明确 定义 进 和 连接。 例如， 假设 只 有 来 
自 外 部 IP 段 15.37.xxx.xxx 的 流量 才 是 有 效 的 通信 流量 ， 那 么 我 们 可 以 构造 过 滤 表 来 拒绝 该 了 段 
之 外 的 所 有 连接 。 

网 桥 和 路 由 器 也 可 以 限制 从 子 网 内 部 去 往 互 联网 络 的 流量 。 例 如 ， 一 个 应 用 程序 开发 组 
可 能 希望 把 他 对 互联 网 络 的 访问 限制 到 一 个 软件 发 布 站 上 。 只 有 来 自 这 个 站 点 的 流量 才 允 许 
进入 互联 网 。 网 桥 或 路 由 器 也 可 用 来 限制 去 往 指定 地 址 的 流量 。 不 仅仅 可 以 根据 流量 的 源 地 
址 和 目标 地 址 来 限制 流量 ， 而 且 还 可 以 根据 流量 的 类 型 来 过 滤 流 量 。 例 如 ， 进 人 开发 子 网 的 
流量 可 以 限制 为 FTP 服 务 。 

3. 访问 网 络 

根据 网 络 的 类 型 ， 把 本 地 设备 连接 到 LAN 主 干 上 需要 使 用 称 做 集线器 的 LAN 设 备 。 访 问 
本 地 网 络 以 及 互联 网 络 ， 可 能 会 受到 集线器 的 限制 。 大 多 数 集线器 都 有 能 力 禁用 未 使 用 的 端 
口 。 这 可 以 防止 有 人 把 一 台 PC 机 插 到 未 使 用 的 端口 上 并 监视 LAN 流 量 。 另 一 个 可 选择 的 办 法 
是 ， 当 一 个 未 使 用 的 端口 启用 时 ， 只 发 出 一 个 警报 但 并 不 限制 该 端口 的 使 用 。 

当 某 个 端口 上 使 用 了 一 个 新 LAN 卡 的 时 候 ， 集 线 器 可 以 检查 网 络 地 址 的 变化 ， 并 发 出 警 
报 。 当 入 侵 者 把 现 有 机 器 的 网 线 从 LAN 上 拔 下 来 并 使 用 他 自己 的 设备 的 时 候 ， 一 个 警报 就 会 
转发 给 集中 式 网 络 管理 系统 。 

网 络 管理 工具 提供 了 管理 集中 网 络 分 离 的 能 力 。 可 以 不 断 检查 网 络 设备 的 配置 以 保证 控 

制 已 经 实现 并 且 仍 旧 在 发 挥 作用 。 这 类 工具 还 提供 了 管理 集线器 和 网 桥 的 功能 。 


22.2.1 什么 是 SNMP 


简单 网 络 管理 协议 ( Simple Network Management Protocol，SNMP ) 是 用 于 管理 网 络 上 
的 网 络 设备 和 计算 机 的 事实 工业 标准 。 称 做 代理 的 本 地 程序 用 来 同 网 络 管理 软件 进行 通信 。 
这 种 通信 可 以 建立 在 预定 义 的 标准 上 ， 或 者 可 以 定制 它们 从 而 满足 一 个 特定 的 需求 。 可 以 定 
制 的 代理 称 做 “可 扩展 性 ”。 

管理 信息 基础 (Management Information Base，MIB ) 指 的 是 由 各 种 类 型 的 网 络 对 象 上 的 
信息 所 组 成 的 一 个 数据 库 。MIB 可 用 做 多 种 目的 。 例 如 ， 一 个 MIB 项 可 以 提供 有 关 指定 厂商 
路 由 器 上 使 用 的 协议 的 信息 。MIB 对 于 管理 许多 网 络 设备 来 说 是 非常 理想 的 ， 其 原因 在 于 实 
现 它们 只 需要 相对 很 少 的 开销 。 

SNMP 可 用 来 管理 连 网 设备 ， 这 种 使 用 可 以 扩展 为 提供 安全 解决 方案 。 扩 展 SNMP 代 理 能 
够 检查 出 控制 或 者 破坏 中 的 脆弱 性 ， 并 且 可 以 把 警报 转发 到 网 络 管理 系统 。 例 如 ， 可 以 通过 
询问 MIB 来 监视 路 由 过 滤 功 能 的 持续 作用 。 





22.2.2 SNMP 足 够 强大 吗 


当前 版 本 的 SNMP 没 有 涉及 到 认证 问题 。 任 何 能 够 公式 化 SNMP 请 求 的 客户 机 都 会 被 给 于 
一 个 响应 。SNMPv1 没 有 提供 任何 有 效 的 办 法 来 防止 第 三 方 查看 管理 器 和 代理 之 间 的 流量 。 
更 糟 的 是 ， 它 也 没有 提供 任何 有 效 的 办 法 来 防止 攻击 者 对 SNMP 管 理 器 进行 未 经 授权 的 访问 。 
为 了 克服 这 些 缺 陷 ， 已 经 提议 了 一 个 新 的 版 本 一 一 SNMPYv2。 

SNMPv2 请 求 中 添加 了 两 个 安全 功能 一 一 一 个 用 来 标识 消息 源 发 者 的 认证 器 和 一 个 用 来 保 
护 SNMPv2 请 求 免 遭 泄漏 的 保密 协议 。 通 过 使 用 消息 摘要 (请 见 第 15 章 )， 数 据 完整 性 得 以 保 
护 。 请 求 的 接收 者 使 用 消息 摘要 技术 来 验证 请 求 发 送 者 。 有 关 SNMPv2 的 详细 信息 可 以 从 因 
特 网 RFC1445、1446 和 1447 中 获得 。 不 幸 的 是 ， 在 本 书写 作 的 时 候 ，SNMPv2 的 最 初 发 布 版 
还 没有 涉及 到 安全 性 。 


22.2.3 网 络 事件 管理 


网 络 事件 管理 系统 ， 如 HP 的 IT OpenView Operation， 可 以 从 整个 公司 互联 网 络 中 收集 信 
息 。 这 些 由 消息 和 警报 组 成 的 信息 可 以 在 一 个 中 心事 件 管理 站 中 准备 、 合 并 以 及 提供 。 根 据 
警报 或 者 消息 的 类 型 ， 事 件 管理 系统 可 以 手动 启动 或 者 自动 响应 。 警 报 及 其 后 动作 的 日 志 通 
常 是 为 审计 目的 而 维护 的 。 

尽管 事件 管理 解决 方案 主要 用 于 网 络 和 系统 管理 ， 但 是 它们 也 可 以 扩展 包括 安全 性 。 各 
种 类 型 的 警报 可 以 转发 到 事件 管理 系统 。 例 如 ， 我 们 可 以 开发 一 个 扩展 代理 来 查找 没有 密码 
的 账号 。 如 果 发 现 一 个 ， 那 么 可 以 向 事件 管理 系统 转发 一 条 消息 。 可 被 监视 的 消息 和 事件 的 
类 型 几乎 是 无 限 的 ， 但 是 恒定 的 监视 和 消息 发 送行 为 会 为 网 络 和 系统 性 能 带 来 影响 。 

消息 可 以 以 多 种 方式 来 生成 : 

。 本 地 系统 上 的 代理 可 以 监视 本 地 系统 ， 并 直接 同事 件 管理 系统 进行 通信 。 

。 消息 可 以 写 到 一 个 日 志文 件 中 ， 然 后 该 文件 可 以 被 事件 管理 系统 访问 。 

。 连 网 设备 所 生成 的 SNMP 警 报 可 以 被 捕获 和 处 理 。 

前 面 已 经 提 到 过 ， 基 于 SNMP 的 代理 可 以 根据 多 种 情况 来 提供 警报 ， 其 中 包括 文件 和 目录 
许可 以 及 已 有 的 本 地 安全 程序 。 如 果 本 地 代理 探查 到 一 个 问题 那么 一 个 警报 可 能 会 转发 到 
中 心事 件 管理 系统 上 。 可 监视 的 同安 全 相关 的 行为 包括 了 重复 登录 系统 的 尝试 。 其 他 同安 全 
相关 的 事件 还 包括 审计 程序 的 停止 或 者 对 登录 程序 的 修改 。 消 息 的 分 离 和 分 组 可 以 基于 多 种 
因素 ， 其 中 包括 : 

“类 型 (例如 安全 性 )。 

。 严重 性 ( 例如 危险 的 )。 

。 源 节点 。 

可 以 给 予 操作 员 不 同 的 能 力 以 处 理 不 同 的 消息 组 ， 这 也 包括 对 他 们 响应 消息 的 限制 。 另 
外 ， 还 可 以 禁止 他 们 查看 选 定 组 的 消息 。 网 络 事件 管理 系统 的 安全 功能 应 该 同 正常 的 操作 分 
离开 ， 这 是 通常 的 推荐 做 法 。 只 有 安全 人 员 及 其 指定 的 用 户 才 可 以 访问 同安 全 相关 的 警报 。 

根据 所 接收 到 的 消息 的 类 型 和 严重 性 ， 管 理 系统 可 能 会 进行 很 多 动作 。 对 消息 的 响应 可 
以 包括 : 

。 要 求 安全 操作 员 确 认 消息 。 
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。 在 网 络 上 切除 设备 来 禁止 访问 

。 向 安全 管理 人 员 报 告 。 

如 果 本 地 系统 使 用 一 个 代理 同事 件 管理 系统 进行 通信 ， 那 么 就 可 以 开发 自动 响应 功能 。 
这 可 以 包括 : 

。 禁 用 一 个 登录 失败 次 数 太 多 的 账号 。 

。 删 除 未 经 授权 的 文件 或 者 目录 。 

。 启 动 一 个 特殊 的 审计 过 程 来 跟踪 某 个 用 户 的 所 有 击 键 动作 。 

所 有 动作 《包括 操作 员 动 作 和 自动 响应 ) 的 日 志保 存在 一 个 审计 跟踪 中 。 消 息 本 身 通常 
存储 在 一 个 RDBMS 中 ， 我 们 可 以 对 其 进行 定制 从 而 使 其 包括 附加 的 安全 控制 和 报告 能 力 。 

后 面 ， 我 们 会 介绍 对 网 络 事件 管理 能 力 的 一 种 特殊 使 用 ， 为 黑客 构建 一 个 探查 网 络 攻击 
行为 的 工具 。 我 们 把 此 工具 称 做 Andromeda。 


22.2.4 动态 监视 


动态 监视 产品 可 用 来 向 安全 人 员 提 供 即 时 警报 。 这 些 产 品 可 以 实时 监视 目标 系统 以 寻找 
系统 破坏 行为 。 很 明显 ， 并 不 是 对 所 有 的 资源 都 可 以 使 用 这 种 方法 来 监视 。 然 而 ， 很 多 同安 
全 相关 的 重要 事件 都 是 逻辑 的 候选 监视 目标 。 如 果 探 查 到 一 个 系统 破坏 行为 ， 那 么 警报 可 能 
会 转发 到 一 个 事件 管理 系统 。 
系统 的 动态 监视 是 通过 三 个 关键 工具 来 完成 的 ， 它 们 是 一 个 本 地 代理 、 网 络 管理 软件 以 
及 集中 式 报警 管理 软件 。 本 地 代理 是 作为 事件 管理 解决 方案 的 一 部 分 提供 的 ， 它 运行 在 被 监 
视 的 系统 上 ， 并 且 可 以 开发 来 探查 很 多 同安 全 相关 的 事件 。 这 些 事件 包括 了 对 系统 安全 程序 
的 改变 。 最 近 24 小 时 之 内 的 三 次 失败 登录 尝试 也 意味 着 一 个 安全 事件 。 对 密码 认证 和 授权 机 
制 的 访问 控制 (包括 登录 程序 和 密码 文件 ) 的 改变 也 构成 一 个 安全 事件 。 还 有 ， 如 果 探查 到 
对 授权 控制 ( 如 系统 文件 和 目录 的 许可 ) 的 未 经 授权 的 改变 ， 可 能 也 说 明 出 现 了 问题 。 更 深 
入 的 安全 检查 还 涉及 到 对 密码 操作 系统 程序 特性 的 检查 。 
数字 签名 可 用 来 保证 操作 系统 程序 的 有 效 性 。 数 字 签 名 根据 一 个 程序 或 者 数据 文件 的 内 部 
特征 而 产生 数字 值 。 即 使 是 程序 中 的 微小 改变 ， 也 会 导致 数字 签名 的 明显 变化 。 我 们 可 以 为 密 
码 程序 例如 登录 程序 ) 产生 数字 签名 ， 并 把 结果 值 同一 个 已 知 的 数字 签名 值 进行 比较 。 如 果 
一 者 不 匹配 ， 那 么 这 就 表明 有 可 能 程序 已 自 改 了 。 图 22-1 给 出 了 使 用 远程 检查 技术 的 一 个 概 图 。 
本 地 代理 对 登录 程序 的 数字 签名 和 事件 管理 软件 记录 安全 问题 并 
一 个 已 知 的 签名 值 进 行 比较 。 为 之 安排 优先 级 。 


对 程序 的 任何 改变 都 会 导致 数字 签 
名 背离 正常 值 , 从 而 产生 一 个 警报 。 





通过 自动 禁用 集线器 上 的 相关 端口 。 











中 心 消息 工具 


图 22-1 安全 问题 的 远程 检查 
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很 多 商业 解决 方案 为 本 地 代理 提供 了 动态 监视 大 量 安全 控制 或 事件 的 能 力 。 这 些 解 决 方 
案 能 够 监视 很 多 目标 系统 ， 并 向 事件 管理 系统 转发 审计 信息 。 它 们 也 可 以 不 断 检查 文件 和 目 
录 许 可 ， 并 在 发 现 未 经 授权 访问 的 时 候 实 时 〈 近乎 ) 产生 警报 。 本 地 控制 机 制 的 存在 和 正确 
执行 ， 例 如 C2 趾 蔽 密码 文件 ， 也 可 以 被 监视 。 甚 至 运行 中 的 程序 也 可 以 被 监视 。 例 如 ， 本 地 
代理 本 身 可 以 被 监视 。 缺 少 或 者 伪造 代理 都 可 以 检查 出 来 。 

科学 应 用 国际 协会 (Science Application International Corporation ，SAIC ) 的 计算 机 误 用 
检查 系统 (Computer Misuse Detection System，CMDS ) 提供 了 安全 事故 的 实时 检查 。 把 本 地 
审计 数据 和 用 户 轮 廓 结合 起 来 ，CMDS 能 够 检查 可 疑 行为 ， 并 提供 集中 式 的 警报 。 


22.2.5 Andromeda 


如 果 一 个 人 侵 者 获得 了 你 内 部 网 络 的 访问 权 ， 那么 他 就 有 机 会 使 用 工具 来 扫描 网 络 中 的 
脆弱 点 。 这 些 工具 使 用 通配符 技术 ( 例如 ，15.37.*.* ) 来 联系 每 个 可 用 的 网 络 地 址 。 从 第 一 
个 可 能 的 地 址 开始 ， 并 逐渐 递增 至 每 个 可 能 的 地 址 ， 攻 击 者 可 以 寻找 网 络 服务 中 的 脆弱 点 。 
可 以 检测 的 网 络 服务 包括 FTP、TFTP、 伯 克利 以 及 网 络 文件 系统 服务 。 

如 果 系 统 在 一 个 安全 组 的 授权 下 部 署 在 网 络 上 ， 而 在 该 安全 组 中 任何 访问 认为 是 未 经 授 
权 的 ， 那 么 这 会 出 现 什 么 情况 呢 ? 部 署 这 些 系统 的 目的 在 于 检查 人 侵 者 的 网 络 扫描 行为 ， 并 
向 安全 人 员 转 发 警报 。 这 些 系统 应 该 在 如 下 前 提 上 构建 ， 任何 同 他 们 进行 通信 的 尝试 都 是 玻 
坏 公 司 互联 网 络 安全 性 的 尝试 。 

老 资 历 的 计算 机 人 员 一 一 他 们 通常 运行 一 个 提供 源 代码 的 UNIX 版 本 ， 是 完成 此 任务 的 理 
想 人 选 。 通 过 编制 UNIX 端 口 映 射 器 和 网 络 守 护 程 序 ， 他 们 可 以 很 容易 地 开发 出 捕获 所 有 网 络 
访问 尝试 的 软件 。 通 过 修改 源 代 码 ， 对 这 些 服 务 的 任何 网 络 访问 都 会 记录 下 来 。 有 关 访 问 请 
求 的 信息 可 以 转发 到 一 个 事件 管理 系统 ， 例 如 HP IT/Operations。 然 后 ，HP IT/Operations 可 以 
把 一 个 关于 可 能 的 网 络 攻击 的 警报 转发 给 安全 人 员 。 图 22-2 说 明了 检查 网 络 扫描 行为 的 途径 。 


可 以 警告 安全 人 员 。 可 以 Andromeda 探 查 到 攻击 
激活 其 他 的 监视 机 制 。 行为 ， a 
- 理 o 
攻击 者 扫描 整个 网 络 以 寻 AN 
找 可 攻击 的 系统 。 中 心 管理 工具 [mm] 





图 22-2 Andromeda 


这 种 思想 由 来 已 入， 这 并 不 是 我 们 的 功劳 。 作 为 对 网 络 探查 行为 的 响应 ， 如 Courtney 和 
Gabriel 之 类 的 捐赠 软件 工具 已 经 开发 出 来 了 。 我 们 的 解决 方案 (我 们 称 之 为 Andromeda ) 使 
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用 了 同样 的 思想 ， 但 它 是 作为 一 个 独立 的 解决 方案 实现 的 ， 它 并 没有 使 用 本 地 操作 系统 日 志 
文件 。 









据说 ， 埃 塞 俄 比 亚 国 王 克 普 斯 的 妻子 卡 西 帕 娥 姓 因 为 骄傲 自 大 而 着 起 了 宁 甘 海神 。 
一 气 之 下 ， 宁 英 海神 释放 了 一 个 海 怪 去 破坏 埃塞俄比亚 的 海岸 。 在 一 个 预言 者 的 建议 下 ， 
库 善 斯 国王 献 出 了 他 的 女儿 Andromeda。Andromeda 被 锁 在 一 块 崖 石上， 但 是 帕 尔 体 斯 杀 
死 了 海 怪 救出 了 Andromeda。 


构建 Andromeda 需 要 考虑 如 下 建议 ; 

。 使 用 老 的 、 过 时 的 UNIX 系 统 。 不 需要 使 用 新 硬件 ， 因 为 监听 网 络 流量 并 在 发 现 问题 的 

时 候 转 发 警报 只 是 机 器 的 责任 。 

。 系 统 上 只 应 该 有 一 个 root 用 户 。 如 果 可 能 的 话 ，root 访 问 应 该 限定 在 系统 控制 台 上 《使 

用 /etc/security )。 

。 一 定 要 保证 机 器 的 物理 安全 。 

。 当 前 所 有 的 网 络 守护 程序 都 应 该 替换 成 一 个 代理 版 本 ， 它 将 捕捉 流量 并 创建 警报 。 

。 代理 网 络 守护 程序 应 该 尽 可 能 地 捕获 有 关 探 查 的 信息 ， 并 把 警报 信息 转发 到 事件 管理 软 

件 。 警 报应 该 也 自动 通知 给 安全 组 。 

。 定 期 改变 Andromeda 机 器 在 网 络 上 的 位 置 。 

把 警报 发 送 给 网 络 事件 管理 器 主要 有 两 种 方法 。 可 以 生成 一 个 基于 SNMP 的 警报 并 转发 到 
事件 管理 器 。 但 是 最 简单 且 最 安全 的 做 法 是 格式 化 警报 并 把 它们 放 在 本 地 文件 中 ， 然 后 由 事 
件 管 理 器 代理 来 访问 这 些 文件 。 

关于 客户 机 是 否 要 泄露 有 关 Andromeda 机 器 的 信息 给 内 部 雇员 ， 我 们 已 经 讨论 过 了 。 我 们 
认为 ， 它 们 的 存在 并 不 是 一 件 坏事 。 如 果 因 为 它们 的 存在 而 使 得 员工 不 再 不 经 授权 测试 网 络 
( 使 用 一 个 诸如 SATAN 的 网 络 )， 那 么 就 更 好 了 。 


22.2.6 安全 忠告 


如 果 厂 商 发 现 了 其 产品 中 的 安全 问题 ， 那 么 他 们 会 例行公事 般 地 发 布 一 些 安全 忠告 。 
们 的 意图 是 让 他 们 的 客户 尽快 解决 问题 ， 从 而 免 遭 自身 攻击 。 对 于 组 织 来 说 ， 与 其 等 待 操作 
系统 或 者 应 用 程序 的 升级 ， 还 不 如 及 时 获得 并 应 用 这 些 厂商 忠告 。 因 为 脆弱 性 往往 是 非法 行 
为 所 发 现 的 结果 ， 并 且 可 能 已 经 人 所 共 知 了 ， 所 以 组 织 必须 要 尽快 的 应 用 厂商 忠告 。 许 多 厂 
商 也 提供 了 数字 签名 以 保证 其 忠告 的 完整 性 和 正确 性 。 使 用 数字 签名 ， 用 户 可 以 很 容易 验证 
每 条 忠告 ， 并 准确 地 发 现 伪造 品 。 安 全 忠告 的 收集 和 分 布 是 每 个 组 织 必须 要 注意 的 中 心 问题 。 


22.2.7 飞 虎 队 


如 果 发 生 了 安全 事故 ,那么 很 多 组 织 都 会 发 现 自己 根本 没有 做 好 有 效 处 理事 故 的 准备 。 
根据 我 们 的 经 验 ， 安 全 事故 的 发 生 是 很 快 的 。 当 事故 来 临时 ， 情 况 往往 一 团 糖 ， 即 使 最 有 经 
验 的 系统 管理 员 也 往往 会 束手无策 。 根 据 我 们 的 认识 ， 组 织 最 好 预先 建立 一 个 小 组 来 响应 对 
计算 环境 的 攻击 。 该 小 组 应 该 由 一 些 能 够 处 理 紧 急 安全 问题 的 精英 人 员 组 成 。 这 种 小 组 一 般 
被 称 做 “ 飞 虎 队 ”， 它 不 但 包括 各 种 领域 (数据 库 、 连 网 以 及 操作 系统 ) 的 专家 ， 而 且 还 应 该 
包括 安全 人 员 和 管理 人 员 。 飞 虎 队 应 该 同 其 他 的 飞 虎 队 保持 联系 ， 这 包括 厂商 、 法 律 实施 人 
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员 、 通 信 提 供 商 以 及 因特网 CERT 组 织 ( Computer Emergency Response Team， 计 算 机 紧急 响 
应 组 )。 根 据 我 们 的 认识 ， 为 了 分 析 情 况 并 及 时 合理 地 做 出 响应 ， 飞 虎 队 必须 能 够 访问 计算 机 
化 的 工具 和 大 范围 的 系统 与 网 络 信息 。 准 备 、 培 训 、 装 备 (工具 ) 以 及 获得 信息 出 处 的 意识 ， 
都 是 很 重要 的 。 如 果 事 到 临头 才 意 识 到 这 一 点 ， 那 么 你 会 发 现 已 经 晚 了 。 


22.3 结论 


集中 管理 分 布 式 系统 的 安全 性 能 够 提高 分 布 式 系统 的 有 效 性 。 集 中 式 安全 管理 解决 方案 
能 够 在 整个 计算 群体 范围 内 实施 标准 。 另 外 ， 这 种 解决 方案 还 具有 降低 总 体 管理 工作 量 和 集 
中 专家 知识 的 能 力 。 但 是 集中 式 安全 解决 方案 并 不 是 解决 安全 问题 的 “万 能 药 ”"。 他 们 可 以 看 
做 对 本 地 系统 管理 员 提供 支持 。 如 果 在 每 个 系统 上 都 实现 本 地 安全 解决 方案 ， 并 用 其 来 探查 
使 用 广播 技术 的 攻击 者 ,那么 组 织 只 需要 付出 很 少 的 成 本 。 集 中 式 方 案 多 许 使 用 更 复杂 的 方 
法 ， 它 要 求 组 织 把 专家 知识 集中 到 少数 人 身上 。 

若 要 解决 计算 安全 的 问题 ， 组 织 需 要 使 用 成 功 的 方法 来 建立 一 个 公司 策略 。 在 下 一 章 中 ， 
我 们 将 讨论 一 个 已 经 被 多 个 组 织 成 功 使 用 过 的 方法 。 


tebe ee ee 
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范围 和 假设 推荐 的 解决 方案 
需求 分 析 风险 和 影响 
体系 结构 战术 计划 

建议 





企业 所 面临 的 计算 安全 问题 是 非常 复杂 的 。 在 前 面 几 章 中 我 们 已 经 知道 ， 计 算 安 全 问题 
涉及 到 了 许多 不 同 的 方面 。 例 如 ， 解 决 安全 问题 需要 实现 强大 的 、 健 壮 的 安全 控制 、 需 要 监 
视 控 制 以 及 培训 用 户 群 。 只 有 技术 上 的 解决 方案 是 不 能 解决 问题 的 。 事 实 上 ， 各 种 不 同 的 技 
术 方 案 会 为 组 织带 来 不 协调 的 巨大 开销 ， 这 会 加 深 解 决 问题 的 难度 。 

计算 机 安全 和 家 庭 安 全 有 很 多 的 相似 之 处 。 保 证 家 庭 安全 的 第 一 道 措施 是 锁 门 。 虽 然 这 
不 能 绝对 保证 家 庭 安全 ( 坏人 可 以 破门 而 人 )， 但 是 它 肯定 会 给 小 偷 带 来 麻烦 。 同 家 庭 安 全 一 
样 ， 为 计算 资产 锁 上 大 门 也 是 非常 重要 的 。 

不 管 是 保证 家 庭 安 全 还 是 计算 安全 ， 我 们 的 方法 一 定 要 有 一 个 平衡 。 如 果 房 子 没有 后 门 
就 那么 敞 着 ,那么 即使 给 前 门 装 上 最 好 的 锁 也 毫 无 意义 。 好 钢 应 该 用 在 刀刃 上 ， 所 以 我 们 应 
该 把 重点 放 在 最 有 可 能 的 安全 暴露 点 上 。 小 偷 通常 不 会 带 着 梯子 去 行窃 。 因 此 ， 最 先 花 钱 的 
地 方 应 该 是 为 低位 置 的 窗户 添加 铁丝 网 。 

许多 组 织 已 经 为 一 些 独立 的 、 不 协调 的 安全 技术 花 了 很 多 钱 。 然 而 这 些 投资 并 没有 解决 
企业 的 整体 安全 需求 。 更 好 的 做 法 应 该 是 实现 更 强大 的 综合 解决 方案 ， 这 能 降低 管理 和 培训 
成 本 。 把 许多 独立 的 、 不 协调 的 解决 方案 结合 起 来 只 能 一 团 粮 ， 不 但 不 全 面 而 且 成 本 也 不 小 ， 
并 且 用 户 也 不 会 接受 。 尽 管 这 些 解决 方案 可 以 解决 独立 的 安全 问题 ,但 是 它们 通常 并 不 满足 
组 织 的 总 体 目标 。 如 果 员 工 不 能 明确 自己 的 责任 ,那么 再 好 的 技术 也 毫 无 用 处 。 例 如 ， 当 你 
不 在 家 的 时 候 ， 如 果 你 的 小 孩 没有 锁 门 就 出 去 玩 了 ， 那 么 即使 你 在 门 上 已 经 装 上 了 世界 上 最 
好 的 锁 ， 那 也 毫 无 意义 ! 

关于 安全 性 的 最 后 一 点 是 ， 安 全 性 必须 反映 出 我 们 的 组 织 和 IT 体 系 结构 。 如 果 组 织 要 实 
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现 分 布 式 计算 ， 那 么 设计 基于 集中 式 体 系 结构 的 安全 方案 就 不 会 有 意义 。 安 全 不 应 该 看 做 是 
孤立 于 环境 之 外 的 。 家 庭 的 安全 同 左 邻 右 舍 的 安全 是 直接 相关 的 。 只 顾 一 个 而 不 顾 其 他 是 绝 
对 不 能 解决 问题 的 。 


23.1 安全 策略 


计算 安全 是 影响 整个 公司 的 问题 。 从 这 种 意义 上 讲 ， 计 算 安 全 是 一 个 业务 问题 而 不 仅仅 
是 一 个 技术 或 者 计算 问题 。 如 果 要 解决 一 个 业务 问题 ， 那 么 组 织 需要 对 问题 有 一 个 战略 上 的 
观点 。 许 多 组 织 已 经 建立 了 策略 以 解决 计算 安全 问题 ， 我 们 将 在 后 面 讨论 这 些 组 织 所 使 用 的 
一 个 方法 学 。 

一 个 安全 策略 是 一 系列 的 具体 步骤 ,组织 可 以 利用 这 些 步 又 来 提高 现 有 的 安全 级 别 。 为 
了 制定 安全 策略 ， 组 织 需 要 使 用 一 个 评估 过 程 来 确定 他 们 在 计算 环境 整体 安全 性 方面 所 处 的 
位 置 ， 同 时 还 需要 定义 他 们 的 安全 目标 并 计划 实现 这 些 目标 所 需要 的 步骤 。 

使 用 一 个 已 定义 的 方法 可 以 保证 所 有 的 门 和 窗户 都 已 经 锁 上 。 当 建造 房屋 时 ， 使 用 安全 
门窗 是 一 个 必 不 可 少 的 环节 。 各 式 各 样 的 组 织 都 已 成 功 地 使 用 这 种 方法 解决 了 计算 安全 问题 。 
安全 策略 可 以 保证 组 织 的 全 部 目标 都 能 得 到 满足 。 它 是 一 个 把 公司 从 今天 推 向 未 来 的 计划 。 
策略 是 在 组 织 明 确 了 当前 环境 后 开发 的 ， 它 为 安全 问题 的 解决 带 来 了 一 个 公共 的 解决 方案 。 
应 该 认识 到 ， 理 想 环境 不 是 一 跌 而 就 的 ， 相 反 ， 只 有 经 过 多 年 的 发 展 环境 才 可 以 接近 理想 状 
态 。 图 23-1 说 明了 一 个 示例 安全 策略 ， 它 是 在 一 个 延长 的 时 间 周 期 上 实现 的 。 


目标 安全 级 别 





研究 控制 
监视 器 < 
一 个 安全 策略 是 一 系列 经 过 计划 的 步骤 ， 


它 能 为 企业 产生 一 个 正确 的 安全 级 别 
LA 开发 策略 安全 策略 的 实施 需要 一 个 时 间 辕 其 
每 个 方 框 代表 一 个 安全 目标 ， 它 们 都 
7 是 整体 策略 中 的 部分。 
例如 ， 远 程 访问 方案 的 作用 是 检查 拨 
当前 安全 级 别 号 用 户 的 安全 需求 


图 23-1 一 个 安全 策略 示例 
对 于 大 多 数组 织 来 说 ， 计 算 安 全 问题 没有 解决 好 的 原因 并 不 是 因为 安全 技术 的 缺乏 。 
事实 上 ， 大 多 数组 织 之 所 以 为 这 个 问题 而 头疼 恰恰 就 是 因为 有 太 多 的 计算 安全 技术 。 为 了 
解决 一 些 独立 的 问题 ， 他 们 已 经 为 技术 进行 了 投资 ， 但 是 并 没有 从 整体 角度 上 考虑 。 问 题 
在 于 ， 如 何 根据 组 织 的 具体 需求 来 选取 最 合适 的 技术 ? 重点 绝对 不 能 放 在 片面 的 安全 问题 
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上 。 技 术 解 决 方案 是 整体 策略 中 的 一 部 分 ， 但 是 策略 决 不 仅 限于 技术 ， 它 必须 还 要 包括 组 
织 和 业务 问题 。 ~ 

许多 组 织 都 已 经 采用 了 部 门 业 务 模 型 。 这 种 模型 把 组 织 分 割 成 多 个 半 自 治 的 业务 实体 。 
各 个 业务 实体 各 不 相同 ， 它 们 都 具有 自己 的 文化 和 业务 目标 ， 这 就 提高 了 开发 整体 安全 策略 
的 复杂 程度 。 策 略 应 该 考虑 到 公司 文化 和 业务 实体 的 区 别 ， 并 给 出 可 被 所 有 实体 支持 的 一 个 
公共 指导 和 一 套 动作 。 安 全 策略 也 必须 要 考虑 到 组 织 的 将 来 发 展 ， 并 明确 组 织 的 新 需求 和 发 
展 方向 。 


方法 


我 们 已 经 为 很 多 不 同 的 客户 开发 了 安全 策略 ， 其 多 样 化 可 以 同 墨 西 哥 政府 和 一 个 基于 加 
拿 大 能 源 的 工具 所 媲美 。 这 些 策略 各 有 其 独特 的 目标 和 目的 ， 这 反映 出 了 组 织 闻 的 不 同 。 在 
一 种 情况 下 ， 策 略 的 目标 是 为 组 织带 来 一 个 公共 的 安全 技术 基础 ; 在 其 他 情况 下 ， 策 略 定 义 
了 一 些 步骤 来 增强 计算 环境 的 总 体 安全 性 。 在 最 近 的 提议 请 求 中 ， 我 们 的 一 个 客户 把 他 对 安 
全 策略 的 需求 总 结 如 下 : 

本 项 目的 目标 是 为 我 们 的 信息 技术 环境 定义 一 个 安全 策略 。 该 策略 将 为 安全 解决 方案 的 
实现 提供 框架 ， 从 而 在 一 个 高 度 分 散 的 、 任 务 重要 的 、 复 杂 的 环境 中 维护 控制 并 保证 控制 的 
安全 性 。 

在 安全 策略 的 开发 过 程 中 ， 我 们 开发 了 一 个 帮助 我 们 完成 该 过 程 的 方法 。 该 安全 方法 有 5 
个 主要 的 阶段 : 
阶段 1 一 一 明确 当前 位 置 。 
阶段 2 一 一 定义 希望 具有 的 环境 。 
阶段 3 一 一 分 析 待 选 方案 。 

。 阶 段 4 一 一 明确 所 采用 的 最 佳 路 径 。 

。 阶 段 5 一 一 开始 。 

安全 策略 的 第 1 阶段 从 评估 组 织 的 当前 安全 级 别 开 始 。 在 该 阶段 中 ， 我 们 要 分 析 组 织 所 使 
用 的 技术 、 它 的 策略 和 程序 以 及 它 的 管理 命令 。 另 外 ， 我 们 还 要 进行 风险 评估 一 一 使 用 测试 
当前 控制 强度 的 技术 和 工具 。 研 究 的 边界 ， 以 及 研究 过 程 中 所 做 的 重要 假设 ， 也 在 该 阶段 纺 
辑 。 例 如 ， 如 果 研 究 是 要 排除 一 个 选 定 的 领域 ， 例 如 微波 传输 的 安全 性 ， 那 么 要 陈述 该 限制 。 
假设 组 织 的 发 展 方向 是 朝 着 某 一 套 技术 前 进 ， 那 么 要 陈述 该 假设 。 还 要 明确 组 织 所 面 对 的 主 
要 问题 ， 并 详 述 其 中 的 每 一 个 问题 。 

在 第 2 阶段 中 ， 定 义 了 总 体 目标 。 编 译 了 一 个 需求 分 析 并 开发 一 个 安全 体系 结构 。 在 该 需 
求 分 析 和 体系 结构 的 基础 上 ， 提 出 一 套 总 体 建议 。 这 些 建议 能 够 提高 组 织 及 时 监测 未 经 授权 
行为 的 能 力 。 

第 3 阶段 的 重点 在 于 评估 可 用 来 满足 需求 的 待 选 方案 。 检 查 每 个 建议 ， 并 且 研 究 可 用 来 满 
足 该 建议 的 待 选 方案 。 

在 第 4 阶段 中 ， 要 提出 针对 特定 方案 和 动作 过 程 的 建议 , 分 析 预 计 成 本 、 风 险 和 影响 ， 并 
开发 一 个 战术 计划 。 在 这 里 ， 已 创建 了 安全 策略 ， 其 实现 的 主要 任务 可 以 开始 进行 。 

第 5 阶段 是 最 后 一 个 阶段 。 在 这 一 阶段 中 ， 我 们 要 继续 执行 计划 ， 并 实现 所 建议 的 技术 上 
的 和 程序 上 的 解决 方案 。 由 于 没有 安全 策略 ， 许 多 组 织 一 不 小 心 就 到 了 策略 的 最 后 一 个 阶段 ， 
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从 而 只 好 不 得 不 胡乱 地 部 署 技术 方案 。 然 而 ， 这 种 做 法 是 很 少 有 作用 。 

在 描述 建立 安全 策略 的 过 程 之 前 ， 必 须 首先 明确 几 个 有 关 安全 策略 的 概念 。 尽 管 对 于 个 
体 组 织 来 说 ， 每 个 策略 都 是 不 同 的 ， 但 是 策略 之 间 毕 葛 存 在 一 些 共性 。 若 要 掌握 安全 策略 的 
开发 ， 需 要 注意 如 下 四 点 : 

. 首先 ， 策 略 的 目标 是 为 组 织 的 将 来 发 展 提供 一 个 指导 ， 而 不 是 试图 为 每 个 安全 问题 马 

上 提供 一 个 解决 方案 。 策 略 可 以 为 当前 某 个 问题 建议 一 个 暂时 的 解决 方案 ， 但 是 重点 
一 定 要 放 在 整体 月 标 上 。 

。 其次， 我 们 很 难 满足 组 织 中 的 每 个 实体 所 提出 的 每 个 独立 安全 目标 。 策 略 必须 要 在 组 

织 的 公共 目标 和 个 体 目标 之 间 取 得 一 个 平衡 。 

。 再 次 ， 并 不 是 所 有 的 目标 都 可 以 立即 实现 。 所 建议 的 许多 解决 方案 可 能 在 将 来 才 部 团 。 

但 明智 的 做 法 是 ， 现 在 采取 一 些小 的 步骤 以 推动 这 些 将 来 的 解决 方案 。 

。 最后， 策略 会 改变 和 发 展 。 业 务 目 标 和 组 织 方向 的 变化 会 推动 安全 策略 的 发 展 。 组 织 

应 该 定期 分 析 策 略 ， 并 在 需要 的 时 候 对 其 进行 修改 。 


23.2 安全 策略 路 线 图 


我 们 开发 了 一 个 路 线 图 来 说 明 安 全 策略 开发 过 程 中 的 各 个 步骤 和 阶段 。 在 开发 一 个 安全 
策略 时 ， 你 会 不 断 地 学 习 有 关 组 织 的 新 知识 、 技 术 以 及 问题 。 建 立 策略 所 使 用 的 构造 技术 必 
须 能 够 解决 这 些 新 问题 。 因 此 在 方法 的 使 用 中 我 们 应 该 尽 可 能 地 保持 灵活 。 图 23-2 说 明了 在 
开发 安全 策略 时 所 使 用 的 路 线 图 。 
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图 23-2 安全 策略 路 线 图 
下 面 我 们 来 看 一 下 建立 一 个 安全 策略 所 涉及 到 的 各 个 步骤 ， 首先 从 当前 评估 开始 。 
23.2.1 当前 评估 
为 了 掌握 如 何 最 好 地 完成 目标 ， 首 先 明确 我 们 所 处 的 起 始 位 置 是 非常 重要 的 。 当前 评估 
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的 目的 是 为 安全 策略 提供 起 始点 ， 它 包括 以 下 5 个 主要 步骤 : 

1) 允许 当前 的 策略 、 程 序 以 及 最 佳 实践 。 

2) 访问 大 量 的 人 ， 包 括 IT 技术 专家 和 管理 人 员 。 

3) 分 析 当 前 所 利用 的 技术 。 

4) 进行 风险 评估 以 学 习 有 关 环 境 的 新 知识 。 

5) 分 析 将 来 的 应 用 和 发 展 方向 。 

当前 评估 的 第 一 步 是 理解 公司 文化 。 例 如 ， 在 公司 文化 中 ， 员 工 的 行为 是 可 信 的 吗 ? 如 
果 是 ， 那 么 这 种 思想 就 意味 着 所 有 的 员工 都 是 默认 可 信和 的 ， 因 而 可 以 访问 公司 信息 ， 除 非 有 
好 的 理由 来 解释 为 什么 不 能 访问 。 与 这 种 原则 所 对 立 的 思想 则 假设 所 有 的 员工 都 默认 是 不 可 
信 的 ， 如 果 要 访问 所 有 信息 ， 那 么 他 们 必须 要 进行 特殊 授权 。 一 般 来 说 ， 安 全 策略 不 是 改变 
公司 文化 的 机 制 ( 那样 做 会 遇 到 很 大 的 阻力 )。 安 全 策略 应 该 理解 和 补充 公司 文化 。 

获得 公司 文化 的 一 种 方法 是 分 析 现 有 的 策略 和 程序 。 记 住 : 如 果 现 有 的 策略 和 程序 不 完 
善 ,那么 请 修改 它们 。 我 们 在 前 面 的 章节 中 已 经 讨论 过 了 计算 策略 问题 。 现 在 我 们 来 回顾 一 
下 开发 计算 策略 时 所 涉及 到 的 主要 问题 : 

。 策 略 不 应 该 反映 特定 的 技术 。 它 们 应 该 反映 出 同 所 有 平台 所 相关 的 问题 。 在 具体 平台 

上 实现 一 个 策略 是 一 个 过 程 。 

。 策 略 应 该 反映 出 组 织 的 文化 。 背 离 公司 文化 的 计算 策略 是 不 可 以 遵循 的 。 

。 组 织 的 策略 应 该 被 员工 所 理解 。 如 果 大 多 数 员工 不 知道 策略 的 存在 ， 那 么 策略 就 不 会 
起 到 应 有 的 作用 。 

分 析 完 公司 文化 以 后 ， 下 一 步 就 要 访问 组 织 内 的 大 量 人 员 。 若 要 理解 当前 的 问题 和 指导 ， 
那么 同 大 量 不同 级 别 的 员工 和 管理 人 员 进 行 公开 的 讨论 绝对 是 最 好 的 办 法 。 讨 论 的 目的 是 为 
了 明确 人 们 当前 所 面 对 的 问题 ， 并 获得 他 们 对 将 来 发 展 的 看 法 。 一 个 好 办 法 是 预先 发 送 一 个 
示例 问卷 ,但 讨论 本 身 通 常 是 非 正式 的 和 无 结构 的 。 


我 们 需要 让 我 们 所 访问 的 人 员 知 道 我 们 的 行为 并 不 是 某 次 审计 的 一 部 分 。 我 们 的 意 
图 并 不 是 想 批评 任何 个 人 或 者 组 ; 相反， 是 为 了 获得 他 们 对 将 来 发 展 方向 的 观点 和 思想 。 
我 们 发 现 ， 经 过 几 百 次 会 读 以 后 ， 大 部 分 人 都 非常 愿意 讨论 安全 问题 和 解决 方案 。 


我 们 应 该 访问 大 量 的 个 人 ， 其 中 包括 用 户 群 体 、IT 专 家 、 审 计 人 员 和 管理 人 员 。 应 该 如 
何 实施 安全 功能 ? 对 于 这 个 问题 ， 应 用 程序 的 实际 用 户 能 够 提供 非常 好 的 信息 。 审 计 部 门 能 
够 提供 有 关 控制 力度 的 信息 和 他 们 对 整体 安全 环境 的 感觉 。 从 技术 专家 身上 ， 你 可 以 学 到 有 
关 当 前 问题 的 大 量 知识 。 管 理 人 员 通 常 不 懂 技 术 细节 ， 但 是 他 们 能 对 将 来 的 发 展 发 表 见 解 。 
例如 ， 如 果 有 计划 要 在 一 个 新 项 目 中 实现 一 个 新 的 密码 技术 ， 那 么 管理 人 员 可 能 具有 该 计划 
的 知识 。 


我 们 已 经 发 现 ， 一 次 会 谈 的 最 大 人 数 是 三 个 。 如 果 房 间 内 的 人 数 多 于 三 个 ， 那 么 就 
会 有 人 打 断 讨论 。 这 很 有 趣 ， 但 是 ， 当 人 数 增加 时 ， 每 个 人 的 参与 就 会 减少 。 更 重要 的 
是 ， 人 们 一 般 愿 意 在 一 个 较 小 的 组 中 互相 交流 思想 和 观点 。 作 为 一 种 礼 狐 行为 ， 我 们 会 
同 会 读者 一 起 检查 会 谈 笔记 ， 并 对 他 们 所 要 求 的 地 方 进行 修改 。 如 果 会 谈 者 同意 ， 那 么 
会 谈 笔 记 就 会 被 包括 到 最 后 的 报告 中 。 如 果 会 谈 者 对 笔记 持 有 异议 ， 那 么 我 们 就 会 修改 
笔记 ， 或 者 重新 进行 讨论 。 
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会 谈 过 程 也 是 掌握 和 记录 组 织 所 用 当前 技术 的 一 个 好 地 方 。 你 会 惊奇 地 发 现 ， 组 织 中 的 
许多 组 都 对 开发 策略 过 程 中 的 这 一 部 分 十 分 感 兴趣 。 许 多 组 织 出 版 IT 业务 计划 ， 既 为 公司 IT 
员工 也 为 业务 单元 。 这 些 计划 是 了 解 组 织 当前 工作 的 一 个 很 好 的 起 始点 。 

会 谈 完 成 以 后 ， 我 们 就 会 建立 一 个 矩阵 来 说 明 所 发 现 的 主要 问题 。 该 矩阵 列 出 了 每 次 会 
谈 中 所 标识 的 问题 领域 。 例 如 ， 如 果 一 个 会 谈 者 认为 组 织 的 策略 和 程序 是 不 够 的 ， 那 么 我 们 
就 在 相关 的 行 和 列 中 打上 一 个 标记 。 这 有 助 于 让 我 们 把 注意 力 放 在 主要 的 问题 上 。 

图 23-3 给 出 了 一 个 问题 和 需求 矩阵 示 倒 。 


问题 和 需求 


策略 和 程序 
数字 签名 
审计 跟踪 
网 络 控制 
应 用 程序 控制 
数据 库 同步 
集中 式 控制 、 监 视 器 以 及 
自动 警报 

。 系统 认可 
数据 库 访问 控制 
责任 分 离 
软件 的 保护 和 分 发 
物理 安全 
远程 投 号 访问 
安全 教育 和 意识 
密码 和 认证 标准 
审计 
数字 签名 





图 23-3 会 谈 结果 一 一 问题 和 需求 矩阵 示例 


最 后 要 注意 ， 公 平 会 谈 ! 请 平等 地 倾听 所 有 的 问题 、 考 虑 和 建议 。 试 着 学 习 ， 不 要 卖 
弄 ! 

会 谈 过 程 使 我 们 明确 了 组 织 内 的 问题 。 在 下 一 步 中 ， 我 们 要 对 计算 环境 进行 一 次 有 限 的 
风险 评估 ， 这 会 使 我 们 发 现 当 前 组 织 所 没有 意识 到 的 问题 。 在 该 过 程 中 ， 我 们 要 对 网 络 、 操 
作 系统 以 及 应 用 程序 控制 进行 积极 的 测试 。 进 行 这 种 受 限 风险 评估 的 目的 是 测量 组 织 当 前 的 
总 体 安全 问题 。 应 该 指出 ,计算 风险 的 总 体 评估 不 仅仅 包括 控制 分 析 。 它 还 包括 对 技术 控制 
的 分 析 ， 以 及 对 物理 安全 、 组 织 程序 和 攻击 可 似 性 等 问题 的 分 析 。 

为 了 明确 控制 的 整体 力度 ， 我 们 使 用 了 很 多 工具 ， 其 中 包括 第 22 章 和 第 24 章 所 讨论 的 一 
些 工具 。 审 计 部 门 所 提供 的 报告 也 可 以 提供 有 用 的 信息 如果 可 用 的 话 )。 但 最 好 的 做 法 是 进 
行 自己 的 评估 。 

在 会 谈 、 分 析 和 评估 的 基础 上 ， 我 们 把 这 些 步骤 的 结果 编译 到 当前 评估 部 分 中 。 这 份 总 
结 是 对 组 织 当 前 状态 的 说 明 ， 其 中 包括 了 组 织 所 面 对 的 问题 及 其 对 将 来 发 展 的 看 法 。 





ne 
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23.2.2 范围 各 假设 


对 于 策略 开发 人 员 来 说 ， 当 建立 策略 时 ， 列 出 策略 希望 实现 的 目标 是 一 个 很 好 的 做 法 。 
还 有 ， 说 明 那 些 不 希望 涉及 到 的 领域 也 是 同样 重要 的 。 例 如 ， 如 果 策 略 不 希望 涉及 到 构建 物 
理 安全 问题 ， 那 么 请 在 范围 中 表示 清楚 。 如 果 策 略 排除 了 某 些 计算 资源 ， 例 如 大 型 机 ， 也 请 
记录 在 此 。 如 果 没 有 一 个 实际 的 决策 ， 那 么 可 以 代表 客户 做 一 个 假设 以 代替 决策 。 例 如 ， 我 
们 假设 某 个 特定 的 项 目 对 于 一 个 组 织 来 说 是 非常 关键 的 ， 但 是 我 们 不 知道 如 何 实现 它 。 把 有 
关 策 略 的 假设 纪录 下 来 有 助 于 使 读者 明白 为 什么 要 制定 决策 和 建议 。 我 们 可 以 在 完成 当前 评 
估 后 开始 记录 范围 和 假设 ,但 是 它们 通常 会 在 整个 过 程 中 修改 和 改变 。 


23.2.3 ”需求 分 析 


需求 分 析 实际 上 是 我 们 所 发 现 的 问题 的 一 个 检查 列表 ， 这 些 问题 是 当前 评估 的 一 部 分 。 
使 用 当前 和 风险 评估 的 结果 ， 我 们 可 以 建立 一 套 总 体 需求 ， 例 如 

。 拥 有 一 个 公共 认证 机 制 ， 该 机 制 在 用 户 初始 访问 的 时 候 认证 用 户 ， 并 为 多 个 应 用 程序 

和 环境 所 使 用 。 

。 把 安全 管理 从 系统 管理 功能 中 尽 可 能 地 分 离 出 来 。 

。 提 供 对 远程 和 移动 用 户 的 控制 。 

。 促进 因特网 的 商业 使 用 。 

一 般 来 说 ， 我 们 可 以 使 用 有 限 数目 的 语句 一 般 为 20 到 30 个 ) 来 表达 企业 的 总 体 需 求 。 


23.2.4 体系 结构 


在 第 3 章 中 ,我 们 提出 了 一 个 安全 环境 体系 结构 。 该 体系 结构 用 来 为 特定 环境 中 的 安全 实 
现 提供 一 个 模型 。 总 是 伴随 安全 策略 的 一 个 问题 是 : 

如 果 没 有 公司 系统 和 网 络 管理 体系 结构 ， 安 全 策略 可 以 开发 一 个 体系 结构 吗 ? 

理想 情况 下 ， 安 全 策略 是 组 织 在 开发 了 一 个 网 络 和 系统 管理 体系 结构 之 后 才 建 立 的 。 但 
实际 情况 并 不 是 这 样 。 通 常情 况 下 ， 由 于 新 项 目 和 应 用 程序 的 需要 ， 安 全 策略 在 开发 公司 体 
系 结构 之 前 就 已 是 公司 所 需 的 了 。 安 全 策略 的 开发 和 分 布 式 环境 的 总 体 体系 结构 的 建立 往往 
是 同时 进行 的 ， 或 者 说 是 重合 的 。 

如 果 没 有 一 个 总 体 体系 结构 ， 那 么 可 以 在 考虑 到 其 将 来 发 展 的 基础 上 自己 定义 一 个 体系 
结构 ， 并 把 其 作为 策略 的 一 部 分 。 应 该 把 策略 范围 和 假设 部 分 中 的 全 部 假设 都 包括 在 内 。 


23.2.5 建议 


总 体 需 求 定义 完成 并 且 体 系 结构 也 开发 完成 以 后 ， 我 们 就 可 以 开发 一 套 建议 。 这 些 建议 
为 组 织 的 安全 性 提供 了 将 来 的 战略 指导 。 你 需要 定义 那些 具有 如 下 需要 的 领域 : 需要 更 深 的 
调研 、 需 要 制定 一 个 决策 ， 或 者 启动 一 个 单独 的 项 目 。 建 议 示例 如 下 : 

。 为 高 级 管理 层 对 计算 环境 ( 包括 分 布 式 系统 和 应 用 程序 ) 使 用 的 批准 开发 一 个 策略 。 

。 在 系统 类 型 的 基础 上 ， 为 所 有 系统 访问 公司 互联 网 络 开发 一 个 认可 过 程 。 

。 实现 一 个 健壮 的 认证 机 制 ， 该 机 制 应 该 为 应 用 程序 和 系统 提供 一 个 单一 登录 解决 方案 。 

。 使 用 安全 监视 器 来 查阅 分 布 式 计算 环境 中 的 现 有 控制 。 
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。 实现 可 信子 网 一 一 这 些 子 网 应 该 在 最 小 特权 的 基础 上 限制 网 络 访问 ， 从 而 减少 关键 子 

网 的 安全 暴露 问题 。 

。 实 现 动 态 监测 安全 事故 的 能 力 。 解 决 方案 应 该 记录 下 事故 ， 并 根据 警报 的 类 型 以 决定 

是 否 通 知 安全 人 员 并 采取 后 续 动 作 。 

强烈 推荐 在 每 个 建议 得 以 继续 之 前 ， 它 们 首先 应 该 得 到 管理 部 门 的 批准 。 为 了 得 到 最 佳 
解决 方案 ,我 们 需要 对 每 个 建议 都 作 深入 地 调查 研究 。 但 是 如 果 只 分 析 管 理 部 门 可 以 支持 的 
那些 建议 , 我 们 就 可 以 节省 时 间 。 你 肯定 不 愿意 把 时 间 浪 费 在 调查 不 会 被 遵循 的 建议 上 。 


23.2.6 ”候选 方案 


同意 建议 以 后 ， 我 们 就 可 以 寻找 可 能 的 解决 方案 。 开 发 一 个 安全 策略 所 需要 努力 的 大 部 
分 都 花 在 这 一 步 上 。 这 一 步 的 工作 就 是 分 析 各 种 候选 的 解决 方案 是 否 满足 前 面 所 提出 的 建 
议 。 这 些 解 决 方案 可 能 牵扯 到 也 可 能 没 牵扯 到 技术 ， 我 们 评价 它们 所 基于 的 因素 包括 了 解决 
需求 的 能 力 、 对 已 提议 的 体系 结构 的 适应 性 、 相 关 成 本 以 及 对 组 织 可 能 产生 的 影响 。 这 一 部 
分 也 可 用 来 提供 对 安全 技术 的 教育 、 候 选 方案 的 强度 和 脆弱 性 的 讨论 以 及 关于 待 选 技术 的 细 
节 信 息 。 


23.2.7 成 本 


除了 考虑 采纳 所 提出 的 建议 会 带 来 的 风险 和 影响 以 外 ， 我 们 还 必须 要 在 建议 的 利益 与 它 
的 成 本 之 间 取 得 一 个 平衡 。 对 每 个 候选 方案 所 预期 的 成 本 〈 包括 购 买 、 维 护 、 培 训 和 支持 ) 
都 应 该 详细 分 析 。 如 果 可 能 的 话 ， 应 该 使 用 一 次 收费 和 年 度 收 费 的 形式 来 表示 这 些 成 本 。 为 
了 简化 确定 成 本 的 任务 ， 我 们 建议 使 用 预算 定价 。 但 是 需要 强调 的 是 ， 提 供 这 些 成 本 的 目的 
仅 在 于 指导 作用 ， 任 何 具体 解决 方案 的 实际 成 本 通常 都 是 客户 方 和 提供 商 进 行 协商 的 结果 。 


23.2.8 推荐 的 解决 方案 


本 阶段 的 任务 是 开发 行为 指导 (技术 上 的 和 非 技术 上 的 ) 从 而 实现 前 面 所 定义 的 建议 。 
这 些 建议 的 范围 可 以 从 具体 硬件 设备 或 者 软件 产品 的 获取 一 直到 启动 对 策略 开发 之 类 的 领域 
的 研究 。 在 某 种 情况 下 ， 这 些 建 议 可 能 只 是 一 些 已 经 启动 的 过 程 的 延续 而 已 ， 例 如 : 

。 为 所 有 基于 系统 和 数据 分 类 的 系统 开发 一 个 认可 过 程 。 作 为 一 个 最 小 单元 ,认可 过 程 

应 该 定义 和 实施 认证 标准 、 访 问 控制 、 监 视 和 审计 。 

。 购 买 和 部 署 个 人 计算 机 访问 控制 解决 方案 。 

。 实 现 一 个 集中 式 的 访问 解决 方案 一 一 使 用 手持 一 次 密码 生成 器 ( 针对 远程 和 移动 用 
户 ) 

。 使 用 当前 的 网 络 管理 工具 来 捕获 安全 警报 。 提 议 的 解决 方案 会 记录 下 所 有 的 安全 破坏 

行为 。 如 果 发 现 严重 警报 就 立即 通知 安全 人 员 。 

。 启 动 一 个 引导 项 目 来 调查 和 明确 在 关键 应 用 中 使 用 OSF/DCE 的 意义 。 


23.2.9 风险 和 彩 防 


每 个 建议 的 解决 方案 和 行为 指导 都 会 对 组 织 产生 影响 。 它 们 会 改变 当前 的 程序 、 教 育 以 
及 人 员 配 置 等 。 并 且 ， 它 们 能 够 影响 到 决策 的 执行 情况 ， 从 而 为 组 织带 来 风险 。 作 为 策略 开 
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发 中 的 一 个 环节 ， 我 们 需要 检查 和 文档 化 每 条 建议 所 具有 的 潜在 影响 和 风险 。 

进行 风险 分 析 的 主要 原因 是 它 能 帮 有 我 们 提出 一 个 明确 的 战术 计划 。 那 些 不 需要 组 织 费 多 
大 劲 儿 的 以 及 低 成 本 低 风 险 的 行为 都 是 可 供 选择 的 起 始 分 析 对 象 。 这 些 都 是 能 立即 产生 结果 
的 行为 。 那 些 会 为 组 织带 来 重大 影响 的 行为 一 般 都 需要 更 长 的 实现 时 间 ， 并 且 可 能 需要 另外 
的 计划 。 


23.2.10 战术 计划 


组 织 一 般 没有 足够 的 时 间 去 立即 实现 每 个 建议 。 推 荐 做 法 是 ， 组 织 应 该 为 安全 策略 开发 
一 个 战术 上 的 实现 计划 。 为 了 促进 该 计划 的 开发 ， 每 个 推荐 的 解决 方案 和 行为 指导 都 需要 进 
行 优先 级 排队 ， 其 实现 方法 是 根据 影响 、 风 险 以 及 实现 时 间 对 所 建议 的 解决 方案 进行 分 门 别 
类 。 这 一 步 完 成 以 后 ， 我 们 就 可 以 为 安全 策略 的 实现 开发 一 个 战术 计划 。 根 据 其 约束 和 先决 
条 件 ， 我 们 可 以 把 解决 方案 分 组 到 相关 的 项 目 中 并 在 计划 中 予以 管理 。 


23.3 结论 


今天 ， 分 布 式 计算 环境 所 面临 的 最 大 的 信任 和 安全 问题 并 不 是 缺乏 技术 ， 而 是 缺乏 一 个 
解决 问题 的 策略 计划 。 如 果 组 织 能 够 对 将 来 的 发 展 情况 进行 分 析 并 计划 出 正确 的 步骤 ， 那 么 
计算 安全 领域 中 的 目标 是 可 以 实现 的 。 然 而 ， 如 果 组 织 没 有 使 计算 安全 体系 结构 同 计算 体系 
结构 保持 一 致 ， 那 么 问题 的 解决 最 终 只 能 会 陷入 一 片 混乱 之 中 ! 在 计算 安全 问题 的 解决 过 程 
中 ,组 织 需 要 有 一 个 战略 上 的 眼光 来 看 待 安 全 问题 并 部 署 集中 式 的 安全 机 制 ， 这 是 非常 关键 
的 步骤 。 另 外 ， 对 计算 安全 及 其 相关 行为 进行 独立 的 分 析 也 是 同样 重要 的 一 步 。 在 下 一 章 中 ， 
我 们 要 对 审计 在 分 布 式 计算 中 的 角色 进行 探讨 分 析 。 
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前 面 我 们 已 经 讨论 了 对 策略 和 指导 原则 的 需要 ， 并 且 知 道 了 如 何 为 安全 性 建立 正确 的 基 
础 。 那 么 如 何 保证 这 些 策略 和 指导 原则 ， 例 如 对 防止 用 户 进行 未 经 授权 的 访问 和 非法 拷贝 软 
件 的 需要 ， 能 够 得 到 遵循 呢 ? 我 们 知道 ， 密 码 管理 和 访问 授权 之 类 的 控制 可 以 用 来 实施 一 至 
性 。 但 是 我 们 如 何 才能 知道 必需 的 控制 已 经 实现 了 并 且 仍 刘 在 发 挥 作 用 呢 ? 如 果 没 有 锁 门 的 
话 ， 那 么 再 好 的 门 锁 也 起 不 到 任何 作用 。 

对 这 些 问 题 的 回答 就 是 ， 我 们 需要 不 断 地 检查 策略 和 已 建立 的 安全 指导 原则 的 一 致 性 。 
在 大 多 数组 织 中 ， 这 种 对 计算 环境 的 维护 管理 工作 是 由 内 部 审计 部 门 完成 的 。 

在 很 多 情况 下 ， 系 统 专家 与 他 们 在 审计 部 门 中 的 搭档 都 保持 着 良好 的 关系 。 在 许多 组 织 
中 ， 系 统管 理 人 员 和 审计 人 员 的 合作 是 很 常见 的 。 尽 管 他 们 从 不 把 计算 机 系统 的 审计 工作 看 
成 是 多 么 有 趣 的 任务 ， 但 是 他 们 总 能 够 在 最 小 的 时 间 内 完成 应 该 完成 的 工作 ， 并 且 把 失败 的 
可 能 性 降 至 最 低 。 

在 另外 一 些 组 织 中 ， 系 统管 理 人 员 和 审计 人 员 之 间 却 存在 着 对 抗 行为 。 审 计 过 程 本 身 就 
是 具有 对 抗 性 的 工作 ， 它 往往 需要 很 长 的 完成 时 间 ， 并 且 结果 也 不 一 定 让 人 满意 。 我 们 认为 
问题 的 根源 在 于 双方 缺乏 对 计算 机 审计 目的 、 目 标 以 及 方法 的 共同 认识 。 

在 本 章 中 ， 将 对 审计 在 分 布 式 计算 环境 中 的 角色 进行 探讨 分 析 。 理 解 了 审计 的 目的 以 后 ， 
分 析 一 下 审计 部 门 和 其 他 部 门 之 间 的 关系 。 接 着 ， 介 绍 一 些 审计 工具 和 方法 。 最 后 ， 要 探讨 
多 种 不 同类 型 的 审计 ， 这 些 审计 都 把 重点 放 在 计算 控制 的 传统 检查 范围 之 外 的 领域 上 。 


re ede we 
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24.1 审计 的 概念 


关于 究竟 什么 是 审计 ， 可 以 说 是 “仁者 见 仁 ， 智者 见 智 ”"。 如 果 你 向 一 组 IS 专 家 问 术语 
“审计 ”在 他 们 眼中 具有 什么 意义 ， 可 能 你 会 得 到 多 种 不 同 的 回答 。 有 些 人 认为 ， 审 计 就 是 收 
集 关 于 一 个 计算 机 系统 行为 和 资源 的 数据 的 过 程 ; 另外 一 些 人 可 能 把 审计 看 做 是 对 现 有 控制 
的 检查 或 者 对 欺骗 行为 的 监测 ; 还 有 一 些 人 则 认为 审计 是 Grim Reaper 的 公司 具体 化 。 

审计 的 定义 是 “一 个 过 程 一 一 在 该 过 程 中 ， 为 了 汇报 可 以 计量 的 信息 同 已 建立 的 标准 之 
间 的 关系 ， 一 个 独立 的 个 体积 累 和 评估 事实 ”( 出 自 : Alvan A.Arens 和 James K.Loebbeche 的 
《Auchiting-An Integrated Approach》，Englewood Cliffs ，NJ: Pretentice Hall,1994 )。 审 计 的 
本 质 是 对 一 个 给 定 的 目标 进行 一 次 独立 的 检查 ， 并 且 汇 报 所 发 现 的 实际 情况 同 可 接受 的 标准 
之 间 的 一 致 性 。 在 本 章 中 ， 我 们 把 检查 可 接受 标准 一 致 性 的 过 程 称 做 审计 ， 把 负责 独立 检查 
计算 安全 的 部 门 称 做 审计 部 门 。 

例如 ， 财 政审 计 就 是 对 财政 状况 进行 正式 的 检查 。 投 资方 和 股东 通常 不 愿意 只 依靠 管理 
人 员 对 财务 状况 的 报告 。 他 们 需要 有 一 个 单独 的 、 公 正 的 会 计 实践 和 财务 状况 报告 ， 从 而 准 
确 地 反映 出 组 织 的 经 济 状况 。 

审计 的 作用 并 不 是 重新 建立 财务 报告 。 准 确 地 说 ， 进 行 审计 是 为 了 检查 财务 报告 是 否 同 
已 建立 的 会 计 实 践 相 一 致 。 如 果 财 政 状况 同 已 接受 的 会 计 实 践 相 一 致 ， 那 么 它们 就 看 做 是 公 
正 的 和 准确 的 。 如 果 二 者 之 间 有 偏差 一 一 这 可 能 会 导致 对 财政 状况 的 错误 判断 ， 那 么 审计 就 
要 汇报 这 种 偏差 。 如 果 在 审计 过 程 中 发 现 了 很 多 偏差 ， 并 且 审计 人 员 认为 财政 状况 有 误导 和 倾 
向 ， 那 么 审计 人 员 必 须 在 审计 报告 中 明确 指出 这 些 疑 虑 。 

在 计算 环境 中 ， 审 计 的 主要 目的 是 独立 地 检查 应 用 程序 、 系统 或 者 网 络 同 已 建立 的 策略 、 
指导 原则 和 标准 的 一 致 性 。 如 果 应 用 程序 设计 者 、 系 统 或 者 网 络 管理 员 没 有 遵守 可 接受 的 标 
准 ， 那 么 审计 过 程 要 把 这 种 情况 报告 给 管理 人 员 。 然 后 责任 方 应 该 采取 预防 动作 并 实现 正确 
的 安全 控制 ， 从 而 提高 企业 的 整体 安全 级 别 。 

然而 ， 如 果 审 计 过 程 中 没有 其 他 组 的 参与 和 交互 ， 也 就 是 说 审计 是 孤立 进行 的 ， 那 么 它 
就 不 会 起 到 预期 的 作用 。 相 反 ， 它 会 导致 审计 部 门 同 被 审计 部 门 之 间 产 生 不 必要 的 对 抗 。 稍 
后 ， 我 们 将 探讨 审计 部 门 同 其 他 部 门 应 六 保持 什么 样 的 关系。 首先 ， 我 们 看 一 下 应 该 由 谁 来 
进行 审计 。 


24.1.1 审计 者 
如 果 有 人 要 进行 审计 ， 那 么 他 必须 先 具备 如 下 三 个 条 件 : 
“知识 。 
。 独立 。 


“可 信赖 。 

计算 机 审计 包括 控制 检查 、 审 计 跟 踪 数 据 分 析 以 及 关于 改变 计算 程序 的 建议 。 很 明显 ， 
这 些 行为 需要 审计 人 员 具 有 相关 技术 的 知识 。 但 是 客观 性 也 是 必需 的 。 组 织 的 计算 群体 通常 
不 是 真正 的 审计 人 员 一 一 尽管 我 们 所 见 过 的 一 些 最 困难 的 审计 工作 都 是 由 他 们 的 伙伴 完成 的 。 

本 质 上 ， 审 计 就 是 对 计算 机 部 门 的 安全 相关 行为 进行 独立 的 检查 。 计 算 机 专业 人 员 对 他 
们 同伴 的 行为 可 能 保持 沉默 一 -不 下 判断 ， 不 做 不 得 人 心 的 建议 。 他 们 也 可 能 把 重点 完全 放 


带 24 墓 窒 计 235 





在 技术 问题 上 ， 这 样 就 缩小 了 审计 的 总 体 范围 。 因 为 审计 涉及 到 了 控制 的 检查 ， 所 以 它 的 行 
为 和 结果 必须 要 保持 机 密 。 这 些 因 素 使 得 审计 人 员 必 须要 具有 高 度 的 可 信赖 性 。 因 此 ， 大 多 
数组 织 都 不 愿意 让 他 们 不 完全 信任 的 第 三 方 ( 特别 是 黑客 ) 来 进行 审计 。 


有 些 人 开玩笑 说 审计 人 员 是 在 战斗 结束 以 后 出 来 射击 伤员 的 。 作 为 一 个 专业 会 计 师 


和 审计 员 ， 我 对 此 哑 之 以 鼻 。 众 所 周知 ， 我 们 是 只 允许 佩 刀 的 。 


理想 的 计算 机 审计 人 员 应 该 是 一 个 疑心 病 患者 ， 他 应 该 具有 审计 经 验 和 强大 的 计算 机 背 
景 。 如 果 找 不 到 这 样 的 人 才 ， 那 么 组 织 就 应 该 建立 一 个 由 IS 和 审计 专业 人 员 所 组 成 的 计算 机 
审计 团队 。 审 计 部 门 在 审计 分 布 式 计算 环 境 时 常常 会 出 现 一 些 错误 ， 现 在 我 们 看 一 下 常见 的 
一 些 错误 。 











24.1.2 常见 的 错误 


这 些 年 来 ， 我 们 有 机 会 接触 了 很 多 组 织 中 的 审计 部 门 。 不 幸 的 是 ， 审 计 部 门 、 安 全 部 门 
以 及 用 户 计算 群体 之 间 的 交互 根本 就 没有 ， 或 者 就 是 互相 对 抗 。 在 大 多 数 情 况 下 ， 脆 弱 的 安 
全 环境 或 者 时 间 和 资源 的 低 效 使 用 都 是 由 这 种 糟糕 的 关系 造成 的 。 

出 现 问题 是 因为 存在 如 下 关键 错误 : 

。 审 计 部 门 没有 参与 计算 安全 问题 的 解决 。 

。 计 算 群体 误解 了 审计 的 作用 。 

。 用户 部 门 ， 包 括 安全 部 门 在 内 ， 没 有 同 审计 部 门 保持 一 个 良好 的 关系 。 

。 用 来 进行 实际 系统 审计 的 标准 是 不 正确 的 。 

。 最 后 的 审计 报告 没有 涉及 到 被 审计 的 计算 环境 的 关键 问题 。 


24.1.3 计算 审计 重要 的 原因 何在 


大 多 数 企业 都 有 一 个 正式 的 审计 部 门 ， 并 且 把 该 部 门 的 权力 范围 扩展 到 了 计算 领域 。 计 
算 机 审计 涉及 到 了 对 计算 机 控制 的 检查 ， 并 且 还 要 把 检查 结果 同 可 接受 标准 的 符合 情况 做 一 
份 详尽 的 正式 报告 。 审 计 的 目的 在 于 提出 一 些 可 以 提高 计算 环境 安全 性 的 建议 ， 这 是 非常 重 
要 的 ， 其 原因 在 于 : 

。 对 于 大 多 数组 织 来 说 ， 计 算 机 系统 意味 着 一 项 很 大 的 投资 。 对 其 保管 员 〈 例如 系统 管理 

员 ) 保护 这 些 投资 的 能 力 进行 独立 地 检查 是 一 项 很 好 的 业务 实践 。 

。 它 能 很 好 地 检查 企业 的 整体 安全 水 平 。 

。 它 提高 了 一 致 性 ， 并 且 向 组 织 灌输 一 个 纪律 化 的 安全 方法 。 审 计 行 为 的 主题 可 能 是 这 么 

一 名 谚语:“ 你 可 以 不 做 我 所 期 待 的 工作 ， 但 是 你 必须 要 做 我 要 检查 的 工作 ”。 

。 它 能 检查 出 我 们 对 关键 系统 和 应 用 程序 的 总 体 可 信任 程度 。 

许多 审计 部 门 忽略 了 分 布 式 环境 的 审计 工作 ， 或 者 只 是 草草 应 付 了 事 。 出 现 这 种 情况 的 
原因 在 于 审计 部 门 缺乏 足够 的 知识 ， 并 且 组 织 也 缺乏 合理 的 工作 约束 。 还 有 一 种 原因 在 于 审 
计 人 员 存 在 这 么 一 种 误解 ， 即 应 该 把 重点 放 在 更 重要 的 大 型 机 系统 和 应 用 程序 上 ! 这 种 态度 
的 问题 是 它 没有 认识 到 ， 由 于 分 布 式 环境 中 的 脆弱 控制 ， 大 型 机 环境 和 应 用 程序 也 会 受到 安 
全 问题 的 牵连 。 由 于 没有 采取 一 种 纪律 化 的 安全 和 审计 方法 ， 组 织 无 法 采用 分 布 式 的 客户 机 - 
服务 器 体系 结构 和 技术 。 如 果 组 织 要 使 用 这 些 技术 ， 那 么 安全 问题 必须 要 尽 可 能 早 地 得 到 解 
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决 ， 这 是 非常 重要 的 。 审 计 部 门 应 该 尽快 地 审计 分 布 式 环 境 ， 这 是 我 们 所 能 提出 的 最 好 建议 。 
如 果 要 部 署 分 布 式 环境 ， 那 么 组 织 应 该 尽早 地 建立 正确 的 标准 和 指导 原则 ， 而 不 是 事后 重新 
添加 这 些 东 西 ， 那 样 就 困难 多 了 。 


24.2 审计 的 角色 


对 于 不 同 的 组 织 来 说 ,审计 和 安全 部 门 的 角色 和 职责 以 及 他 们 同 用 户 群体 之 间 的 关系 ， 
是 各 不 相同 的 。 在 许多 组 织 中 ， 系 统 审 计 和 安全 功能 都 是 IT 部 门 的 任务 。 对 于 那些 负责 操作 
和 管理 组 织 计算 资 源 的 人 员 来 说 ， 不 管 安全 和 审计 部 门 在 结构 上 是 否 与 其 保持 独立 ， 在 功能 
上 他 们 是 必须 要 保持 独立 的 。 图 24-1 从 广泛 意义 上 说 明了 系统 管理 员 、 安 全 部 门 以 及 审计 部 
门 的 角色 。 


系统 管理 员 
实现 控制 
审 计 遵循 指导 原则 
管理 每 日 安全 功能 


检查 实际 情况 同 已 建立 的 指导 原则 之 安全 部 门 
间 的 一 致 性 


编写 审计 报告 

把 问题 通知 给 高 级 管理 层 开发 策略 和 指导 原则 
提供 咨询 和 信息 
提高 用 户 意 识 
管理 集中 式 的 安全 功能 


图 24-1 审计 、 安 全 和 用 户 部 门 的 角色 


前 面 已 经 提 到 ， 审 计 部 门 在 计算 中 的 角色 是 对 计算 环境 的 安全 性 进行 独立 地 检查 ， 并 且 
编写 一 份 详尽 的 检查 结果 报告 。 审 计 报告 的 本 质 上 是 对 当前 计算 环境 同 可 接受 的 标准 集 的 一 
致 性 所 做 的 分 析 。 

通常 情况 下 ， 标 准 和 指导 原则 是 由 安全 部 门 公布 的 。 我 们 一 般 把 负责 安全 策略 和 指导 原 
则 的 部 门 称 做 是 安全 部 门 ， 但 是 该 部 门 还 有 很 多 不 同 的 名 字 。 我 们 将 在 24.2.2 节 中 介绍 应 该 如 
何 建立 标准 和 指导 原则 。 安 全 部 门 也 负责 教育 用 户 的 安全 意识 。 进 行 集中 式 的 安全 管理 任务 
( 例如 维护 用 户 ID ) 一 般 也 是 安全 部 门 的 责任 。 在 系统 上 实现 公司 标准 和 指导 原则 一 般 是 系统 
管理 员 的 责任 。 另 外 ， 他 们 一 般 还 要 管理 每 日 安全 功能 。 


24.2.1 关系 


良好 的 警 民 关系 是 保证 警察 正常 工作 的 基本 因素 。 警 察 依 靠 公民 向 其 报告 犯罪 行为 以 及 
提供 信息 。 没 有 目击 者 的 参与 ， 逮 捕 罪 犯 就 会 非常 困难 。 没 有 它 所 服务 的 公民 的 支持 ， 警 察 
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局 很 难 开展 工作 。 

审计 部 门 同 计算 群体 之 间 的 关系 同 警 民 关系 非常 类 似 ， 上 面 的 结论 在 这 里 也 是 非常 正确 
的 。 辐 警察 局 一 样 ， 审 计 部 门 必须 依靠 用 户 群体 的 支持 才能 完成 其 工作 。 审 计 部 门 应 该 让 用 
户 群 体 知道 他 的 工作 目标 ， 这 是 非常 重要 的 。 审 计 部 门 必须 要 同 用户 群 体 和 安全 部 门 一 起 工 
作 才 能 加 快 审计 过 程 。 在 实际 审计 标准 的 建立 中 ， 这 种 良好 的 工作 关系 是 非常 重要 的 。 


24.2.2 建立 正确 的 标准 


审计 就 是 把 当前 的 环境 同一 个 已 建立 标准 进行 比较 。 在 第 23 章 中 ， 我 们 讨论 了 安全 纪律 、 
策略 和 指导 原则 的 建立 。 尽 管 策略 和 指导 原则 通常 不 是 由 安全 部 门 首先 建立 的 ， 但 是 它们 必 
须要 经 过 审计 部 门 的 评审 。 有 些 审计 部 门 不 愿意 认可 安全 部 门 所 提交 的 标准 ， 这 是 一 个 很 党 
见 的 问题 。 他 们 认为 如 果 公 布 标准 ， 那 么 检查 的 作用 就 降低 了 。 但 事实 上 ， 通 常 反面 情况 才 
是 正确 的 ! 审计 部 门 必须 要 同安 全 和 用 户 部 门 一 起 工作 才能 建立 一 套 可 被 认可 和 遵循 的 指导 
原则 。 

所 使 用 的 标准 必须 要 反映 出 正 审计 的 环境 。 审 计 一 台 UNIX 服 务 器 同 审计 一 台大 型 机 没有 
太 多 的 共同 性 。 许 多 指导 原则 不 能 实现 在 UNIX 系 统 上 ， 或 者 不 能 解决 实际 安全 问题 。 利 用 用 
户 部 门 的 输入 ， 安 全 和 审计 必须 要 协同 工作 才能 建立 一 套 实际 的 指导 原则 。 实 现 它们 则 是 独 
立 用 户 部 门 和 系统 管理 员 的 责任 。 


24.3 UNIX 审计 标准 示例 


下 面 列 表 列 出 了 几 个 用 于 UNIX 系 统 的 审计 标准 。 注 意 ， 该 列表 并 不 详 的 。 

。 每 个 账号 都 应 该 有 一 个 密码 ， 和 否则 禁止 登录 。 

。 超 级 用 户 账号 的 权力 应 该 受到 限制 。 

。 如 果 不 需 要 ， 禁 用 TCP/IP 服 务 。 

。 每 次 用 户 登录 以 后 ， 系 统 应 该 显示 用 户 的 上 次 登录 时 间 。 

。 每 次 用 户 登 录 以 后 ， 系 统 应 该 显示 一 条 关于 该 用 户 授权 使 用 状况 的 消息 。 

。“.” 不 应 该 出 现在 PATH 变量 中 。 

。 用 户 的 $SHOME 目 录 和 文件 不 应 该 是 其 他 人 可 写 的 。 

。/tmp 和 Ausr/tmp 目 录 应 该 有 粘 滞 位 。 

。 对 系统 文件 和 目录 的 写 访问 权 必须 要 受到 限制 。 

。 系 统 应 该 被 物理 保护 起 来 。 

。 禁 用 主机 等 效 性 。 

。 及 时 应 用 厂商 的 安全 忠告 。 . 

审计 标准 是 把 计算 策略 和 指导 原则 结合 起 来 创建 的 。 一 般 情况 下 ， 它 们 被 编译 到 一 个 包 
含 很 多 项 的 审计 检查 列表 中 。 审 计 检查 列表 通常 涉及 了 许多 不 同 的 问题 ， 这 包括 密码 管理 、 
系统 资源 访问 控制 以 及 连 网 服务 。 


审计 报告 


如 果 你 的 孩子 在 100 道 考试 题目 中 回答 对 了 98 道 ， 但 成 绩 却 被 判 为 不 及 格 ， 那 么 你 会 怎么 
生气 ? 大 多 数 人 都 会 勃然 大 把 1 孩子 们 还 有 兴趣 继续 努力 吗 ? 有 些 审计 部 门 有 这 样 的 假设 ， 
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任何 背离 标准 的 行为 都 会 导致 一 份 拙劣 的 审计 报告 。 他 们 没有 认识 到 ， 由 于 应 用 程序 或 者 连 
网 需求 ， 并 不 是 在 每 种 环境 中 每 个 指导 原则 都 会 得 到 满足 。 有 些 操 作 系统 错误 根本 不 是 用 户 
部 门 所 能 处 理 得 了 的 ， 怪 罪 他 们 根本 就 没什么 意义 。 

我 们 知道 有 这 人 么 一 种 情况 ， 虽 然 某 个 审计 标准 在 部 门 服务 器 上 没有 得 到 满足 ， 但 是 实际 
的 安全 暴露 问题 却 被 一 个 补充 控制 消除 了 。 审 计 部 门 向 高 级 管理 层 报告 了 一 个 不 可 接受 的 控 
制 故障 ， 这 使 得 那个 不 幸 的 系统 管理 员 遭 到 了 令 人 不 快 的 工作 检查 。 然 后 ， 该 管理 员 流 露出 
了 对 继续 处 理 安全 问题 的 不 情愿 情绪 。 对 于 审计 部 门 来 说 ， 更 好 的 做 法 是 根据 整体 安全 性 来 
编写 最 终 报 告 。 如 果 整 体 安全 很 差 ， 那 么 就 可 以 写 一 个 差 的 报告 。 但 是 如 果 只 是 一 些小 问题 
没有 得 到 解决 ， 那 么 盼 个 “不 及 格 ” 就 是 不 应 该 的 了 。 重 要 的 是 ， 报 告 应 该 公正 地 反映 出 整 
体 安 全 性 级 别 。 它 不 应 该 在 系统 管理 员 的 一 点 小 错误 上 大 做 文章 。 

现在 我 们 已 经 分 析 了 审计 的 总 体 目 的 ， 下 面 我 们 探讨 一 下 审计 应 该 检查 的 目标 类 型 。 


24.4 计算 机 审计 基础 


传统 的 计算 机 系统 审计 主要 着 眼 于 三 个 方面 ， 策 略 一 致 性 、 控 制 结果 检查 以 及 审计 跟踪 
检查 。 应 该 指出 ， 许 多 公司 的 审计 重点 起 源 于 大 型 机 计算 环境 ， 并 且 可 能 偏向 那个 环境 。 计 
算 审计 的 一 个 重点 审计 对 象 是 策略 和 标准 的 一 致 性 。 不 幸 的 是 ， 许 多 组 织 所 使 用 的 策略 只 是 
为 大 型 机 开发 的 。 把 这 种 策略 用 在 分 布 式 环境 中 将 会 引发 很 多 问题 。 我 们 的 观点 是 ， 策 略 应 
该 是 通用 的 ， 它 应 该 独立 于 任何 计算 平台 。 标 准 是 策略 的 应 用 ， 它 们 需要 专门 为 分 布 式 计算 
平台 开发 。 

计算 机 审计 的 一 项 重点 内 容 是 检查 被 审计 的 系统 、 应 用 程序 或 者 网 络 的 控制 结构 。 这 种 
检查 一 般 会 包括 对 认证 需求 的 检查 ， 如 密码 和 统一 用 户 ID 的 使 用 。 密 码 管理 功能 ， 包 括 健壮 
密码 和 密码 时 效 性 的 使 用 在 内 ， 也 要 检查 。 另 外 ,访问 控制 〈 例如 拒绝 未 经 授权 访问 的 机 密 
信息 ) 和 高 级 访问 特权 ( 例如 UNIX 超 级 用 户 特 权 的 使 用 ) 也 在 检查 的 范围 之 内 。 

计算 机 审计 跟踪 是 从 计算 机 系统 的 行为 中 生成 的 数据 集合 。 审 计 跟 踪 提 供 了 关于 用 户 和 
进程 动作 的 信息 ， 它 可 以 用 来 眼 踪 非 法 动作 。 审 计 跟 踪 的 目的 包括 : 

。 监测 未 经 授权 的 行为 ， 例 如 通过 重复 的 失败 访问 尝试 来 猜测 密码 。 

。 通过 记录 登录 和 访问 权限 中 的 变化 来 监测 未 经 授权 访问 的 出 现 方式 。 

* 跟踪 对 系统 资源 的 访 癌 。 

。 提供 从 灾难 中 进行 恢复 的 能 力 。 

有 时 候 ， 审 计 人 员 会 检查 审计 跟踪 以 寻找 证 明 未 经 授权 行为 的 证 据 。 但 通常 情况 下 ， 审 
计 人 员 只 是 想 保 证 在 出 现 未 经 授权 行为 事件 的 时 候审 计 跟 踪 能 够 跟踪 用 户 行为 。 


24.5 扩大 重点 


传统 的 审计 技术 和 方法 都 是 为 大 型 机 环境 开发 的 ， 它 们 把 重点 放 在 围绕 着 单一 计算 机 系 
统 的 已 知 控制 上 。 但 是 随 着 分 布 式 计算 的 出 现 ， 传 统 的 控制 检查 机 制 变 成 了 大 画卷 中 的 一 个 
方面 ， 它 应 该 进行 扩展 以 结合 分 布 式 计算 所 引入 的 其 他 方面 。 这 些 方面 包括 正确 的 责任 分 离 、 
用 户 意 识 、 业 务 恢复 计划 、 物 理 控制 、 软 件 许可 以 及 应 用 程序 开发 。 图 24-2 说 明了 在 分 布 式 
计算 环境 中 扩展 审计 重点 的 新 行为 。 | 
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图 24-2 提议 的 安全 审计 扩展 重点 
下 面 我 们 来 讨论 这 些 新 的 审计 领域 。 


24.5.1 用 户 意 识 


用 户 必 须要 意识 到 他 们 在 维护 计算 机 安全 中 所 具有 的 责任 。 如 果 不 知道 自己 的 责任 ， 那 
么 用 户 就 不 可 能 维护 和 实践 正确 的 安全 程序 。 向 用 户 群 体 灌输 安全 意识 是 各 级 管理 人 员 的 责 
任 。 意 识 程序 起 始 于 向 新 员工 交流 安全 问题 和 程序 。 员 工 应 该 正式 地 确认 他 们 对 安全 责任 问 
题 的 理解 。 分 布 式 计算 审计 应 该 包括 对 用 户 意识 程序 存在 性 和 内 容 的 检查 。 


24.5.2 业务 持续 计划 


业务 持续 计划 (Business Continuity Planning，BCP ) 提供 一 个 计划 和 方法 一 一 在 出 现 影 
响 计 算 服 务 的 灾难 以 后 ， 组 织 可 以 利用 该 计划 和 方法 进行 业务 恢复 。 这 是 一 个 复杂 的 课题 ， 
但 是 它 的 核心 问题 -一 备份 调度 和 灾难 恢复 计划 一 一 已 经 实现 了 。 分 布 式 计算 审计 不 仅仅 要 
检查 备份 进程 ， 还 要 检查 应 用 程序 或 者 系统 从 灾难 中 进行 恢复 的 能 力 。 


24.5.3 ”物理 控制 


对 于 一 台 计算 机 或 者 网 络 设备 来 说 ， 如 果 攻 击 者 能 够 得 到 对 它 的 物理 访问 权 ， 那 么 他 就 
可 以 通过 使 用 各 种 技术 而 得 到 对 该 设备 的 未 经 授权 的 访问 。 分 布 式 计算 审计 应 该 检查 目标 系 
统 和 网 络 设备 防 得 物理 攻击 的 能 力 。 物 理 控制 上 的 不 足 一 定 要 得 到 解决 ， 例 如 我 们 可 以 把 关 
键 系统 放 到 绝对 安全 的 环境 中 。 
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24.5.4 软件 许可 


版 权 法 保护 了 软件 厂商 创建 和 发 布 软件 的 权利 。 商 业 软 件 包 以 及 一 些 建议 的 软件 包 都 在 
其 厂商 许可 协议 中 包括 了 有 关 软 件 使 用 的 限制 。 大 多 数 厂商 允许 用 户 找 贝 软件 作为 备份 或 者 
工作 拷贝 。 然 而 ， 许 可 协议 一 般 都 规定 软件 一 次 只 能 安装 在 一 台 机 器 上 。 如 果 要 为 其 他 机 器 
拷贝 软件 ， 那么 用 户 必 须要 获得 附加 许可 证 或 者 拥有 一 份 现场 许可 协议 。 

拷贝 软件 用 于 许可 协议 声明 之 外 的 目的 是 非法 的 。 分 布 式 计算 审 记 必 须要 检查 软件 许可 
以 保证 严格 支持 许可 规定 和 版 权 法 。 


24.5.5 软件 开发 


测试 工具 和 产品 工具 一 般 是 分 离 的 ， 因 为 谁 也 不 愿意 测试 活动 影响 到 产品 机 器 。 然 而 ， 
公司 可 能 没有 对 软件 从 “测试 ”到 “产品 ”的 移动 做 到 足够 的 控制 。 我 们 曾 看 到 过 这 种 情况 ， 
软件 补丁 和 应 用 程序 版 本 没有 经 过 测试 就 热 加 载 到 产品 中 去 了 。 产 品 数据 在 测试 环境 中 的 使 
用 也 是 一 个 值得 考虑 的 地 方 。 在 这 里 ， 分 类 数据 〈 例如 个 人 数据 ) 有 可 能 被 暴露 给 开发 人 员 ， 
并 且 产 品 数 据 和 测试 数据 有 可 能 混淆 在 一 起 一 一 如 果 测 试 数据 不 愤 加 载 到 产品 环境 中 的 话 。 
一 般 来 说 ， 测 试 环境 同 产品 的 分 离 是 必需 的 。 


24.6 其 他 的 审计 类 型 


其 他 的 审计 类 型 有 助 于 我 们 明确 环境 的 可 信任 程度 ， 它 们 包括 风险 评估 、 脆 弱 性 测试 、 
自 评估 和 性 能 审计 。 


24.6.1 风险 评估 


虽然 风险 评估 在 许多 情况 下 是 IT 部 门 的 责任 ， 但 是 它 也 是 计算 机 系统 审计 中 的 一 个 有 用 工 
具 。 风 险 评估 是 结合 考虑 事件 发 生 的 可 能 性 来 预计 事故 或 者 事件 可 能 造成 的 损失 的 尝试 研究 。 
进行 风险 评估 的 对 象 可 以 是 应 用 程序 、 系 统 或 者 网 络 , 它们 被 称 做 主体 。 对 主体 中 的 每 个 控制 ， 
风险 评估 都 要 估计 如 果 控制 破坏 的 话 可 能 造成 的 损失 。 事 件 发 生 的 百 分 可 能 性 称 做 风险 系数 或 
者 因子 ， 该 值 要 应 用 到 预期 的 损失 上 。 二 者 相 乘 的 结果 就 是 一 个 预期 损失 数字 。 我 们 的 目的 就 
在 于 把 重点 放 在 那些 具有 最 高 损失 数字 的 问题 上 ， 这 些 问题 会 为 组 织带 来 最 大 的 损失 。 


术语 “风险 评估 ”也 经 常用 来 描述 对 计算 机 系统 控制 的 主动 测试 。 这 种 测试 通常 被 
审计 人 员 称 做 脆弱 性 测试 ， 其 目的 是 通过 发 现 现 有 控制 中 的 脆弱 区 域 来 标识 潜在 的 威胁 。 
标识 过 以 后 ， 组 织 就 可 以 加 紧 控 制 ， 并 且 避 开 潜 在 的 威胁 。 


风险 评估 所 产生 的 主要 结果 是 一 份 评估 报告 一 一 该 报告 详细 说 明了 控制 及 其 相关 的 脆弱 
性 ， 并 且 点 出 了 如 果 这 些 脆弱 性 被 利用 的 话 可 能 造成 的 潜在 损失 。 从 审计 角度 上 看 ， 使 用 风 
险 评估 可 以 : 

。 人 允许 审计 行为 把 重点 放 在 具有 最 高 预期 损失 的 问题 上 。 

。 把 同 计算 环境 相关 的 风险 和 潜在 损失 通知 给 管理 人 员 。 

。 警 告 开发 人 员 和 系统 管理 人 员 注 意 潜 在 的 问题 。 

风险 评估 的 使 用 也 有 一 些 局 限 性 。 如 果 不 从 其 他 源 访问 数据 ， 那 么 我 们 很 难 确定 出 一 个 
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合适 的 风险 因子 。 如 果 所 有 系统 或 者 应 用 程序 被 破坏 了 ， 那 就 会 造成 很 多 闻 接 损失 ， 在 确定 
潜在 损失 的 时 候 ， 所 有 这 些 间 接 损失 也 必须 要 包括 在 内 ， 这 是 非常 重要 的 。 例 如 ， 破 坏 一 个 
测试 系统 可 能 不 会 造成 重大 的 财政 影响 。 但 是 如 果 因 为 这 次 破坏 而 使 得 人 侵 者 后 来 可 以 访问 
员工 系统 ,那么 这 就 有 可 能 造成 重大 损失 了 。 


24.6.2 脆弱 性 测试 


风险 评估 并 不 对 被 检查 的 环境 控制 进行 任何 直接 的 行为 ， 所 以 认为 它 是 被 动 的 ; 另 一 方 
面 ， 脆 弱 性 测试 真正 对 环境 进行 可 疑 脆弱 性 的 测试 。 它 们 模仿 和 使 用 黑客 所 使 用 的 工具 来 获 
得 对 系统 的 未 经 授权 的 访问 。 一 般 的 检查 包括 : 

。 脆 弱 的 或 者 不 存在 的 密码 。 

。 尝 试 得 到 密码 文件 。 

。 无 保护 的 系统 二 进 制 数据 和 文件 。 

。 尝 试 访问 分 类 数据 。 

。 利 用 已 知 的 bug。 

。 实 现 控制 不 完全 。 

脆弱 性 测试 的 目标 在 于 使 用 攻击 者 可 能 会 使 用 的 方法 来 突出 系统 中 的 脆弱 性 。 根 据 从 测 
试 中 获得 的 知识 ， 我 们 就 可 以 使 用 一 个 适当 的 控制 或 者 对 策 来 消除 脆弱 性 。 测 试 的 范围 可 以 
是 一 个 系统 或 者 应 用 程序 ， 也 可 以 包括 大 量 的 连 网 系统 。 推 荐 做 法 是 把 网 络 测试 作为 初始 行 
为 ， 这 是 因为 网 络 测试 具有 很 完整 的 途径 。 网 络 测试 善于 发 现 潜在 的 脆弱 系统 ， 并 且 可 以 检 
查 出 系统 总 体 安全 水 平 。 网 络 测试 完成 以 后 ， 通 常 进行 的 是 对 关键 系统 的 综合 测试 。 

必须 要 注意 的 是 ， 从 脆弱 性 测试 中 得 到 的 工具 和 信息 绝对 不 可 以 被 末 经 授权 的 个 体 所 利 
用 ! 当 测 试 完成 以 后 ， 报 告 和 工具 应 该 从 候选 系统 中 删除 。 用 于 UNIX 和 TCP/IP 环 境 的 脆弱 性 
测试 软件 包括 捐赠 的 COPS 和 SATAN 工 具 。COPS 监 视 UNIX 系 统 控制 ， 而 SATAN 则 提供 了 测 
试 TCP/IP 网 络 脆弱 性 的 能 力 。 


24.6.3 自 评估 


自 评估 审计 允许 系统 管理 员 对 照 已 建立 的 审计 标准 检查 他 们 的 一 个 或 多 个 系统 。 自 评估 
的 目的 在 于 让 系统 管理 员 在 审计 之 前 满足 或 者 超过 安全 标准 。 如 果 定 期 使 用 而 不 是 只 在 审计 
部 门 造访 之 前 才 临 时 抱佛脚 的 话 ， 自 评估 可 以 极 大 地 提高 组 织 的 整体 安全 级 别 。 我 们 将 在 后 
面 介绍 自 评 估 工 具 的 使 用 。 


24.6.4 性 能 审计 


性 能 审计 是 一 种 特殊 类 型 的 审计 ， 它 的 工作 是 测量 计算 机 系统 和 应 用 程序 的 效率 和 有 效 
性 。 这 类 审计 的 重点 通常 都 是 应 用 程序 。 性 能 审计 的 目标 是 : 

， 测量 一 个 系统 是 否 满足 它 的 预期 实现 目标 。 

。 分 析 新 系统 的 成 本 -作用 。 

。 测 量 新 系统 是 否 满足 它 的 性 能 设计 目标 。 

由 于 进行 性 能 审计 需要 付出 相对 很 高 的 成 本 ， 所 以 它们 通常 都 限定 在 大 型 的 、 复 杂 的 系 
统 和 应 用 程序 上 。 
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24.6.5 审计 时 间 


财政 年 度 结束 以 后 ， 财 政 状况 审计 主要 每 3-6 个 月 就 进行 一 次 。 尽 管 先前 已 经 进行 了 一 些 
预备 调研 ， 但 是 大 部 分 工作 还 是 在 年 后 进行 。 计 算 机 系统 审计 也 遵循 同样 的 循环 ， 它 每 年 进 
行 一 次 。 但 是 我 们 认为 应 该 采取 一 个 更 及 时 的 方法 。 如 软件 许可 检查 之 类 的 工作 可 以 每 年 进 
行 一 次 , 但 是 控制 监视 和 脆弱 性 检查 应 该 全 年 进行 一 一 作为 正常 的 系统 管理 任务 的 一 部 分 。 


24.6.6 认可 





认可 是 把 安全 标准 公平 地 应 用 到 不 同类 别 的 系统 上 的 过 程 。 不 同 的 操作 系统 需要 不 同 的 
审计 系统 ,许多 组 织 已 经 认识 到 了 这 一 点 。 他 们 已 经 开发 了 一 个 认可 过 程 ， 该 过 程 在 系统 类 
型 及 其 用 途 的 基础 上 定义 了 一 套用 于 认证 、 访 问 控制 、 监 视 和 审计 的 标准 。 这 并 不 意味 着 标 
准 的 减少 ， 而 是 表明 在 特定 平台 上 可 用 的 全 套 安全 控制 都 使 用 了 。 

不 园 的 操作 系统 需要 不 同 的 对 待 ， 这 是 因为 它们 的 控制 结构 是 不 同 的 。 但 是 许多 组 织 也 
在 功能 分 类 的 基础 上 认可 系统 ， 并 且 根 据 系统 的 性 质 而 使 用 不 同 的 标准 。 例 如 ， 应 用 程序 开 
发 机 器 一 般 要 比 运行 工资 程序 的 产品 机 器 具有 更 低 的 标准 集 。 但 是 作为 低 许可 的 一 个 结果 ， 
应 用 程序 开发 环境 可 能 会 被 拒绝 某 些 特权 ， 如 直接 访问 公司 互联 网 络 。 

根据 功能 ， 需 要 认可 的 系统 一 般 可 以 分 为 如 下 几 类 : 





。 无 类 别 。 
。 个 人 工作 站 。 
。 演 示 。 
。 产 品 。 
。 网 络 管理 。 
。 应 用 开发 。 
。 安 全 和 审计 。 
表 24-1 列 出 了 基于 认可 分 类 的 建议 连 网 限制 。 
表 24-1 认可 需求 
认可 类 别 需求 限 制 
无 类 别 无 系统 必须 隔离 ， 不 能 直接 连接 到 公司 互联 网 络 上 
个 人 工作 站 访问 控制 系统 是 一 个 单 用 户 工作 站 
病毒 检查 
演示 访问 控制 系统 重新 加 载 了 厂商 提供 的 资料 。 除 非 按照 产品 系统 得 到 认可 ， 否 则 不 
可 以 访问 网 络 
产品 访问 控制 经 过 认可 的 系统 可 以 访问 互联 网 络 
物理 控制 
网 络 控制 
审计 
开发 用 户 控制 系统 不 能 直接 连接 到 互联 网 络 上 ， 而 是 必须 要 使 用 一 个 已 认可 的 系统 上 
的 代理 服务 
操作 支持 按照 产品 系统 为 基础 结构 ( 如 软件 分 发 和 连 网 ) 的 持续 操作 提供 了 支持 
安全 性 物理 控制 系统 提供 了 同安 全 相关 的 功能 
访问 控制 


审计 
网 络 控制 
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认可 的 主要 目的 是 提高 整个 环境 的 总 体 安全 性 。 不 符合 认可 标准 的 系统 都 会 拒绝 特权 ， 
如 完全 连接 互联 网 络 。 认 可 过 程 强制 最 脆弱 的 系统 变 得 更 强大 一 一 如 果 这 些 系 统 希望 拥有 一 
个 扩展 特权 的 话 。 


24.6.7 自 评 估 工 具 


今天 很 多 自动 软件 工具 都 可 用 于 监视 计算 环境 安全 。 安 全 人 员 一 般 把 这 些 软件 工具 称 做 
控制 监视 器 ， 而 审计 人 员 则 把 它们 术语 化 为 自 评 估 工 具 。 自 评估 工具 的 使 用 通常 都 是 针对 于 
特定 平台 的 。 用 于 Novell 网 络 的 自 评 估 工 具有 Blue Lance 的 LT Auditor 和 Intrusion Detection 的 
Kane Secruty Analyst， 用 于 UNIX 平 台 的 有 捐赠 的 COPS 软 件 和 VeSoft 的 Security AudiVUX， 另 
外 Axent Technologies 的 OmniGurad 家 族 产品 也 具有 安全 监视 功能 。 

在 今天 的 组 织 中 ， 大 多 数 的 审计 部 门 都 受到 财政 和 工作 强度 的 制约 ， 所 以 我 们 推荐 使 用 
已 有 的 控制 监视 软件 来 进行 安全 性 评估 。 一 般 来 说 ， 只 要 有 ， 审 计 就 应 该 使 用 已 有 的 安全 工 
具 。 对 于 审计 来 说 ， 最 好 的 方法 就 是 促进 一 个 公共 的 安全 监视 工具 的 使 用 ， 并 且 定 期 检查 系 
统管 理 员 运行 它 的 情况 。 
审计 部 门 应 该 促进 和 采纳 子 评估 工具 ( 控制 监视 器 ) 的 使 用 ， 这 是 我 们 向 你 强烈 扒 
荐 的 做 法 。 自 评估 工具 在 审计 希望 建立 的 标准 和 系统 管理 员 制 定 的 控制 之 间 提 供 了 一 个 
公共 链接 。 除 非 有 欺骗 行 为 ， 否 则 审计 部 门 和 系统 管理 员 应 该 共享 公共 的 安全 工具 。 系 
统管 理 员 应 该 定期 使 用 这 些 工具 来 检查 安全 问题 。 审 计 人 员 只 能 周期 性 地 使 用 这 些 工 具 。 
审计 不 应 该 完全 依赖 于 控制 监视 器 的 使 用 ， 而 是 应 该 把 它们 的 使 用 同 审计 检查 列表 的 使 
用 以 及 与 关键 人 员 的 会 谈 结 合 起 来 。 












24.7 结论 


计算 机 系统 的 审计 是 计算 安全 问题 解决 方案 中 的 一 个 重要 组 件 。 审 计 促进 了 实际 环境 同 
已 建立 的 策略 和 指导 原则 的 一 致 性 ， 因 而 提高 了 企业 计算 安全 的 整体 级 别 。 

用 于 大 型 机 的 传统 年 度 检查 形式 不 能 应 用 在 分 布 式 环境 中 。 在 分 布 式 环境 中 ， 计 算 机 审 
计 行 为 的 重点 、 范 围 以 及 时 间 安 排 必须 要 改变 。 传 统 的 控制 环境 审计 应 该 扩展 成 包括 其 他 领 
域 ， 例 如 许可 防备 和 策略 一 致 性 。 传 统 的 审计 行为 也 要 扩展 ， 不 同 的 审计 类 型 要 包括 审计 内 
容 中 ， 如 脆弱 性 测试 和 风险 评估 。 然 而 ， 更 重要 的 是 审计 部 门 必 须要 同 他 所 服务 的 计算 群体 、 
保持 一 个 良好 的 工作 关系 。 


er 
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计算 的 复杂 性 安全 的 新 技术 

内 部 威胁 不 安全 的 新 技术 
,厂商 承诺 增强 的 协作 

商业 间谍 信息 战争 

需求 加 密 

犯罪 行为 总 结 评论 





我 们 能 够 解决 计算 安全 问题 吗 ? 从 乐观 角度 上 看 ， 计 算 安全 问题 会 被 解决 。 新 的 技术 ， 
或 者 将 要 可 用 的 技术 ， 将 会 解决 该 问题 。 这 些 技术 具有 如 下 功能 ， 安 全 的 单一 登录 、 强 大 的 
访问 控制 以 及 安全 事故 的 动态 监测 。 在 大 多 数 公司 中 ， 管 理 层 逐 渐 提高 的 意识 和 承诺 将 会 让 
这 些 高 级 技术 得 到 利用 。 另 外 ， 实 现 强大 的 、 健 壮 的 安全 控制 、 监 视 控制 以 及 教育 用 户 群 
一 一 这 些 需 要 也 会 得 到 满足 。 

悲观 者 则 认为 计算 安全 问题 在 将 来 也 不 会 被 解决 。 新 技术 〈 例如 无 线 LAN ) 会 带 来 新 安 
全 问题 。 坎 骗 以 及 其 他 非法 行为 仍旧 继续 吸引 着 组 织 犯罪 的 关注 。 武 装 了 复杂 的 工具 并 且 使 
用 了 欺骗 和 其 他 智力 犯罪 知识 以 后 ， 组 织 犯 罪 会 发 动 一 波 新 的 计算 机 犯罪 热潮 。 他 们 使 用 国 
际 边界 来 保护 自己 ， 从 而 安全 隐秘 地 进行 犯罪 活动 ， 这 一 事实 对 于 新 的 计算 机 犯罪 人 员 来 说 
是 非常 有 吸引 力 的 。 最 后 ， 在 将 来 的 战争 中 ， 敌 方 的 计算 资源 将 会 是 逻辑 目标 。 对 于 大 多 数 
组 织 来 说 ， 如 果 外 国 军 事 力量 要 对 其 计算 资源 进行 先进 的 攻击 ， 那 么 这 些 组 织 是 否 有 能 力 保 
护 自 己 是 非常 值得 怀疑 的 。 

计算 安全 挑战 能 被 满足 吗 ? 这 个 问题 是 很 难 回 答 的 。 图 25-1 揭 示 了 两 种 对 立 观 点 ( 能 和 
不 能 ) 后 面 的 原因 。 

计算 安全 问题 能 否 被 解决 ? 对 此 我 们 很 难 预测 。 现 在 我 们 来 看 一 下 两 种 答案 背后 的 原因 。 

管理 承诺 

在 过 去 ， 高 级 管理 层 几乎 认识 不 到 计算 安全 的 重要 性 。 然 而 这 几 年 来 ， 这 种 情况 在 许多 
组 织 中 都 有 了 变化 。 高 级 管理 层 已 经 认识 到 了 组 织 计算 资源 的 安全 问题 是 一 个 很 重要 的 业务 
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问题 。 他 们 已 经 承诺 要 解决 该 问题 ， 并 且 使 用 很 多 方式 表明 了 这 种 承诺 。 在 过 去 ， 要 想 让 高 
级 管理 层 为 了 计算 安全 问题 而 接见 你 ， 真 可 谓 困 难 之 极 。 根 据 我 个 人 认识 ， 这 一 点 已 不 再 正 
确 。 许 多 安全 问题 都 有 了 高 级 管理 部 门 的 直接 参与 。 他 们 对 安全 问题 的 解决 过 程 和 结果 都 非 
常 热心 。 在 许多 组 织 中 ， 信 息 安 全 官员 的 位 置 已 经 从 一 个 信息 服务 位 置 提高 到 了 直接 向 副 总 
裁 做 报告 的 位 置 。 高 级 管理 部 门 的 承诺 为 计算 安全 问题 的 解决 提供 了 财政 支持 。 在 许多 组 织 
中 ， 管 理 部 门 的 承诺 已 经 不 仅仅 只 限于 为 问题 的 解决 提供 财政 支持 了 。 高 级 管理 部 门 对 解决 
计算 安全 的 承诺 对 于 公司 安全 行为 的 成 功 起 到 了 至 关 重 要 的 作用 。 
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图 25-1 我 们 能 对 付 计 算 安全 挑战 吗 ? 


计算 的 复杂 性 . 

新 的 客户 机 -服务 器 技术 虽然 很 容易 使 用 ， 但 是 同 其 他 环境 比 起 来 ， 它 是 非常 复杂 的 。 随 
着 数据 和 应 用 逻辑 的 分 布 化 ， 环 境 的 复杂 性 提高 了 。 如 果 考 虑 到 连 网 需求 ， 那 么 复杂 的 计算 
环境 又 涉及 到 了 许多 不 同 的 方面 。 从 安全 角度 上 看 ， 复 杂 是 非常 精 糕 的 。 它 增加 了 出 现 bug 和 
其 他 安全 漏洞 的 可 能 性 ， 入 侵 者 可 以 利用 这 些 bug 和 漏洞 来 攻击 系统 。 高 级 软件 使 得 分 布 式 服 
务 的 实现 变 得 很 容易 ， 但 是 它 也 提高 了 最 终 方案 的 复杂 性 。 

内 部 威胁 

现在 的 公司 都 在 进行 着 巨大 的 变化 。 大 量 的 公司 裁员 和 缩减 规模 使 得 员工 对 公司 不 再 像 
以 前 那样 忠诚 。 很 多 事故 都 同 不 满意 的 员工 ， 或 者 那些 只 要 有 机 可 胰 就 自 饱 私 厢 的 员工 有 关 
系 ， 相 信 这 种 情况 还 会 继续 下 去 。 很 多 员工 都 有 能 力 使 用 自己 的 系统 或 者 网 络 访问 权限 进行 
报复 行为 ， 他 们 的 攻击 对 于 大 多 数组 织 来 说 都 是 很 难 防范 的 。 这 种 内 部 威胁 极 大 地 破坏 了 组 
织 的 安全 性 ， 因 而 有 可 能 会 为 组 织带 来 最 大 的 损失 。 


厂商 承诺 
在 过 去 ,厂商 从 不 把 其 产品 的 安全 性 作为 一 项 迫切 需要 来 对 待 。 但 是 今天 这 种 情况 已 经 


有 了 变化 ， 产品 的 高 安全 性 被 看 做 是 有 竞争 力 的 优势 。 许 多 厂商 已 经 为 具体 的 客户 安全 需求 
开发 了 解决 方案 。 市 场 上 从 来 没有 过 如 此 多 的 安全 产品 。 然 而 ， 这 为 分 布 式 安全 问题 的 解决 
带 来 了 困难 。 各 式 各 样 的 解决 方案 都 在 互相 竞争 ， 人 们 迫切 需要 有 一 个 工业 或 者 事实 标准 。 
但 实际 情况 是 ， 我 们 不 但 有 互相 竞争 的 解决 方案 ,而且 还 有 互相 竞争 的 标准 。 
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商业 间谍 

业务 中 的 竞争 压力 从 来 没有 像 今天 这 么 大 过 。 由 于 全 球 竞 争 的 压力 ， 公 司 需 要 提高 质量 、 
压缩 成 本 并 且 提 高 产品 推 向 市 场 的 速度 ， 并 且 这 种 需要 还 在 日 益 增 长 。 在 解决 这 些 需 求 的 过 
程 中 ， 信 息 是 一 个 非常 关键 的 因素 ， 并 且 毫 无 争议 地 成 为 公司 可 以 拥有 的 最 关键 的 资源 。 今 
天 ， 大 多 数 的 公司 秘密 都 保存 在 计算 机 系统 中 。 由 于 市 场 竞争 的 压力 ， 公 司 间 的 机 密 窃取 行 
为 逐渐 增多 ， 至 少 有 一 些 公司 不 可 避免 地 希望 通过 这 种 行为 来 压倒 竞争 对 手 。 

工业 界 秘 密 不 仅仅 包括 竞争 对 手 的 信息 ， 而 且 还 包括 外 国政 府 的 信息 。 特 别 是 在 新 出 现 
的 领域 中 ， 窃 取 别 国 的 资源 要 比 自己 开发 容易 的 多 。 我 们 怀疑 ， 大 多 数 国家 都 会 采取 多 种 形 
式 来 纵容 间谍 行为 。 使 用 国际 通信 链 路 ( 例如 因特网 )， 商业 间谍 可 以 很 安全 地 窃取 邻 国 机 密 ， 
相信 这 种 行为 会 逐渐 增多 。 有 了 国家 政府 的 支持 ， 国 家 安全 局 可 以 利用 最 复杂 的 方法 和 技术 
来 获得 竞争 对 手 的 信息 。 

金融 业 和 政府 需求 

政府 部 门 和 金融 行业 是 最 需要 解决 好 安全 需求 的 地 方 。 可 以 预见 的 是 ， 这 两 种 单位 的 安 
全 需求 将 不 得 不 由 厂商 来 解决 。 他 们 的 市 场 购买 力 非常 大 ， 因 而 厂商 绝对 不 可 以 忽视 他 们 的 
存在 。 由 于 他 们 的 需求 和 购买 力 , 市 场 上 出 现 了 更 强大 更 复杂 的 安全 解决 方案 ， 从 而 提高 整 
个 计算 群体 的 安全 水 平 。 另 外 ， 他 们 的 需求 对 标准 的 开发 和 部 署 也 会 起 到 积极 的 推动 作用 。 

犯罪 行为 ， 

到 现在 为 止 ， 大 多 数 的 计算 机 黑客 行为 都 不 是 因为 钱 的 原因 才 发 生 的 。 计 算 和 通信 服务 
中 的 偷窃 行为 已 经 变 得 非常 常见 ， 但 是 通常 它们 的 出 现 一 般 都 不 是 为 了 钱 。 除 了 少数 一 些 大 
案 以 外 ， 欺 骗 和 电子 盗窃 之 类 的 犯罪 行为 一 般 很 少 出 现 。 黑 客 知识 和 犯罪 知识 的 联姻 好 像 势 
在 必 行 。 当 这 发 生 了 以 后 ， 对 商业 计算 系统 的 犯罪 攻击 可 能 会 变 得 更 流行 。 犯 罪 分 子 可 以 为 
其 同谋 提供 购买 高 级 装备 和 计算 设备 的 资金 。 | 

这 种 行为 让 人 头疼 的 一 个 地 方 在 于 作案 者 不 需要 靠近 受害 者 。 作 案 者 可 以 来 自 一 个 与 受 
害 者 所 在 的 国家 关系 紧张 的 另 一 个 国家 ， 他 们 可 以 在 因特网 上 进行 攻击 ， 这 种 行为 是 很 难 遭 
到 起 诉 的 。 尽 管 国际 组 织 正在 积极 采取 多 种 方式 来 解决 该 问题 ， 但 是 仍然 存在 很 多 让 人 东 手 
的 国家 一 “从 这 些 国家 引渡 和 起 诉 计算 机 罪犯 是 非常 困难 的 。 这 些 国家 里 的 罪犯 可 以 免 遭 国 
际 起 诉 。 因 特 网 上 的 欺骗 行为 也 是 非常 难以 起 诉 的 。 骗 子 们 使 用 多 种 方法 来 骗 钱 。 这 些 方法 
可 能 只 有 在 因特网 上 才能 发 挥 作用 。 如 果 读 者 希望 深入 了 解 这 一 重要 课题 ， 请 参考 
《Computer Crime in Canada》[Davis & Hutchinson,1994]。 

法 律 实施 

在 《The Cuckoo's Egg》(Cliford Stoll,1989) 一 书 中 ， 作 者 引述 了 一 个 有 关 计 算 机 间谍 行 
为 的 真实 故事 : 在 这 个 故事 里 ， 一 个 人 侵 者 使 用 了 大 量 的 计算 机 网 络 。 如 果 要 揭发 人 侵 者 ， 
本 地 、 州 以 及 联邦 警 署 的 协助 是 必需 的 。 但 在 早期 的 时 候 ， 这 种 协助 的 缺乏 是 最 让 人 头疼 的 
地 方 之 一 。 即 使 一 个 人 侵 者 有 嫌疑 入侵 中 央 情 报 局 的 计算 机 ， 官 方 的 反映 也 是 很 冷淡 的 。 今 
天 ， 大 多 数 管辖 范围 内 的 执法 机 构 的 反映 是 不 同 的 。 公 众 已 经 提高 了 对 计算 机 犯罪 的 认识 ， 
这 也 包括 执法 机 构 在 内 。 在 许多 情况 下 ， 司 法 争论 以 及 实际 损失 的 问题 使 得 起 诉 变 得 很 复杂 。 
北美 和 欧洲 的 法 律 实施 团体 开始 愿意 参与 对 计算 机 犯罪 的 调查 。 北 美的 许多 警 署 已 经 有 了 专 
门 调查 信息 技术 犯罪 的 特殊 小 组 。 
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安全 的 新 技术 

一 些 新 出 现 的 技术 ， 例 如 Kerberos ， 使 得 我 们 可 以 开发 强大 的 、 安 全 的 应 用 程序 。 一 些 使 
用 公开 加 密 和 其 他 高 级 安全 技术 的 新 应 用 程序 ， 例 如 Lotus Notes， 正 在 逐渐 进 和 市场 。 很 多 
新 厂商 也 提供 了 安全 解决 方案 。Windows NT 操作 系统 的 开发 把 安全 作为 一 项 需求 。 只 要 市 场 
上 有 需求 ， 厂 商 就 会 立即 做 出 响应 ， 并 设计 出 新 技术 以 满足 这 些 需 求 。 每 天 都 会 出 现 新 的 安 
全 技术 和 产品 。 新 技术 的 使 用 使 得 入侵 者 破坏 组 织 计 算 安 全 变 得 更 加 困难 。 

不 安全 的 新 技术 

可 以 肯定 的 是 ， 新 技术 的 出 现 会 不 可 避免 地 带 来 新 的 安全 问题 。 例 如 ， 使 用 无 线 电 波 而 
不 是 物理 电缆 进行 通信 的 无 线 LAN 技 术 就 带 来 了 新 的 安全 问题 。 无 线 LAN 上 的 传输 是 基于 无 
线 电 频率 的 ， 只 要 使 用 适当 的 扫描 技术 ， 攻 击 者 就 可 以 截获 无 线 LAN 的 信号 。 从 简单 的 扫描 
器 到 复杂 的 光谱 分 析 器 ， 只 要 使 用 这 些 工 具 ， 人 侵 者 就 可 以 监视 公司 装置 周围 的 无 线 电 波 。 
实际 上 ， 弄 清楚 传输 的 意思 并 不 是 十 分 的 国难 。 根 据 攻击 者 的 水 平和 所 使 用 工具 的 复杂 程度 ， 
分 析 无 线 数据 流 是 很 有 可 能 的 。 用 于 无 线 LAN 的 诊断 工具 可 以 分 离 选 定 的 节点 以 进行 故障 诊 
断 。 然 后 攻击 者 也 可 以 使 用 这 样 的 工具 。 同 样 ， 根 据 所 使 用 设备 的 复杂 程度 ， 攻 击 者 不 需要 
呆 在 组 织 的 物理 范围 内 就 可 以 进行 攻击 。 对 于 许多 组 织 来 说 ， 当 使 用 无 线 技术 时 ， 对 敏感 数 
据 进行 加 密 是 必需 的 。 

增强 的 协作 

为 了 解决 计算 安全 问题 ， 政 府 、 厂 商 以 及 计算 群体 的 协作 正在 逐渐 增加 。 大 量 有 关 安 全 
领域 的 因特网 RFC 已 经 说 明了 人 们 和 组 织 对 共享 其 安全 思想 和 观点 的 意愿 。 大 量 的 委员 会 和 
来 自 各 种 标准 委员 会 的 工作 组 也 表明 了 人 们 对 解决 安全 问题 的 共享 承诺 。 卡 内 基 - 梅 隆 大 学 的 
计算 机 紧急 响应 组 (Compvuter Emergency Response Team， CERT ) 和 美国 能 源 部 的 计算 机 事 
故 咨 询 能 力 机 构 ( Computer Incident Advisory Capability， CIAC ) 会 及 时 地 向 计算 公众 通知 
严重 的 安全 问题 ， 他 们 的 作用 可 以 说 是 无 价 的 。 

信息 战争 

1995 年 8 月 21 日 ， 美 国 时 代 杂 志 发 表 了 一 篇 题 为 “Cyberway 一 The U.S.Yushes to turn 
computers into tomorrows weapons of destruction. But how vulnerable is the home front?” 的 文 
章 。 该 文章 描述 了 一 个 国家 的 计算 资源 如 何 会 成 为 未 来 战争 中 的 攻击 目标 。 这 种 攻击 同 大 多 
数 犯 罪行 为 不 一 样 ， 它 的 重点 不 是 放 在 获取 钱财 上 ， 而 是 在 于 如 何 破坏 基于 计算 机 的 服务 。 
如 果 战 争 合理 的 话 ， 那么 这 种 攻击 就 会 被 合理 地 从 军事 站 点 扩展 到 商业 和 政府 计算 系统 上 。 
大 多 数 的 商业 组 织 没有 能 力 抵御 对 其 计算 资源 的 集中 式 的 军事 打击 ， 至 少 这 种 防御 能 力 是 值 
得 怀疑 的 。 这 些 攻击 还 可 以 把 攻击 重点 放 在 公共 事业 上 ， 例如 它们 可 以 破坏 用 于 石油 和 电气 
事业 、 本 地 和 州 政府 以 及 执法 机 构 的 控制 系统 。 实 际 上 ， 任何 其 服务 中 断 会 为 公众 带 来 影响 
的 目标 都 可 以 被 看 做 是 一 个 目标 。 网 络 本 身 的 中 断 会 带 来 巨大 的 损失 。 

加 密 

加 密 在 操作 系统 和 网 络 控制 之 上 为 公司 信息 资产 提供 了 另 一 层 保护 。 随 着 商业 和 捐赠 解 
决 方案 逐渐 增长 的 可 用 性 ， 加 密 技术 特别 是 公开 密 钥 技术 的 使 用 也 逐渐 在 增多 。 如 果 密 钥 管 
理 的 问题 得 到 解决 ， 加 密 技 术 应 该 为 计算 安全 问题 的 解决 提供 一 个 强大 的 武器 。 然而 ， 加 密 
技术 并 不 排斥 强大 的 操作 系统 和 网 络 控制 。 如 果 一 台 计 算 机 的 操作 系统 控制 是 脆弱 的 ， 那 么 
即使 使 用 了 加 密 ， 攻击 者 也 可 以 成 功 地 使 用 伪装 特洛伊 木马 程序 来 窃取 用 户 的 加 密 密 钥 。 


248 第 四 部 分 解决 问题 


总 结 评论 

如 果 要 解决 计算 安全 问题 ， 那 么 组 织 必 须要 把 它 看 做 是 一 个 业务 而 不 是 计算 问题 。 新 技 
术 肯 定 会 有 助 于 问题 的 解决 ， 但 是 它们 只 是 答案 的 一 部 分 。 和 策略、 管理 承诺 以 及 对 问题 的 一 
个 战略 观点 都 是 必需 的 。 

组 织 必须 要 重视 计算 安全 问题 。 管 理 部 门 的 承诺 是 必需 的 ， 他 们 需要 分 配 人 力 和 财力 资 
源 。 不 幸 的 是 ， 这 种 承诺 往往 是 在 发 生 一 次 严重 事故 以 后 才 流 行 一 段 时 间 。 但 是 分 配 资源 并 
不 是 惟一 的 需求 。 组 织 需 要 有 一 个 安全 策略 来 保证 资源 的 高 效 利用 。 该 策略 要 标识 那些 解决 
问题 所 需 的 动作 ， 其 中 也 获取 相关 技术 在 内 。 但 更 重要 的 是 ， 该 策略 必须 要 让 安全 需求 同业 
务 目 标 和 方向 保持 一 致 。 公 司 策略 中 应 该 包含 一 个 进行 用 户 安全 意识 教育 的 程序 ， 这 是 非常 
重要 的 。 然 而 ， 由 于 目标 的 广泛 性 ， 一 个 安全 策略 可 能 需要 数 年 的 执行 时 间 。 另 外 ， 计 算 安 
全 问题 本 身 也 会 发 展 ， 从 而 使 解决 方案 变 得 落伍 。 因 此 ， 公 司 需要 有 一 个 长 期 的 解决 方案 承 
诺 。 英 国 的 幽默 历史 ( 注 : W.C.Sellar 和 R.J.Yeatman，1066 和 All That ( London:Meuthen & 
Company,1930 ) ) 已 经 提供 了 一 段 非常 适合 说 明 问 题 长 期 性 的 话 : 


Gladstone 发 明了 教育 速度 ， 并 且 在 老年 时 花费 了 很 长 的 时 间 来 猜测 爱尔兰 问题 


的 答案 。 不 幸 的 是 ， 只 要 他 一 有 点 头绪 ， 爱 尔 兰 就 会 秘密 地 改变 问题 。 
解决 计算 安全 问题 需要 花费 几 年 的 时 间 ， 并 且 需 要 大 量 的 承诺 。 
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附录 A 强 认 证 


我 们 已 经 看 到 ， 使 用 “保密 的 ”密码 来 认证 用 户 存 在 着 一 些 问题 。 首 先 ， 通 过 使 用 一 个 
字典 攻击 ， 任 何 “保密 的 ”密码 都 有 可 能 被 猜 出 或 者 被 揭示 。 密 码 也 有 可 能 被 用 户 记 下 来 被 
别人 看 到 。 但 更 重要 的 是 ， 密 码 通常 是 以 明文 形式 在 网 络 上 传输 的 。 即 使 密码 加 密 了 ， 它 们 
仍旧 有 可 能 被 截获 并 重 发 。 

为 了 解决 这 些 问题 ， 我 们 需要 实现 更 强大 的 认证 方法 。 现 在 简要 回顾 一 下 可 用 来 进行 认 
证 的 各 种 形式 : 你 知道 的 某 样 东西 〈 例 如 密码 )、 你 具有 的 某 样 东 西 〈 例如 特殊 卡 或 者 令 牌 ) 
以 及 个 人 特征 〈 例如 指纹 或 者 虹膜 扫描 )。 我 们 越 需要 确信 标识 的 正确 性 ， 就 越 需 要 有 强大 的 
认证 机 制 。 在 本 附录 中 ， 我 们 将 介绍 一 些 可 用 于 强 认 证 的 方法 。 


一 次 性 密码 


一 次 性 密码 是 在 特定 情况 下 及 时 生成 的 惟一 密码 ， 它 们 只 在 有 限 的 时 间 内 有 效 。 这 些 惟 
一 的 密码 是 根据 一 个 或 多 个 因素 生成 的 ， 例 如 根据 时 间 ， 或 者 向 一 个 算法 输入 一 个 字符 串 的 
事件 。 因 为 用 来 创建 密码 的 输入 因素 是 惟一 的 ， 所 以 密码 是 不 可 能 重用 或 者 重新 生成 的 。 因 
此 ， 从 网 络 上 截获 的 密码 不 能 重用 于 后 面 的 未 经 授权 访问 。 

实现 一 次 性 密码 需要 使 用 到 当前 时 间 ， 把 当前 时 间 输 入 到 一 个 算法 中 生成 一 个 惟一 的 数 
字 串 。 一 种 简化 的 实现 方法 是 根据 时 间 和 日 期 生成 一 个 预定 义 的 密码 列表 。 然 后 用 户 参 考 该 
生成 列表 以 寻找 对 当前 时 间 有 效 的 正确 密码 。 目 标 系统 也 会 使 用 该 生成 列表 。 在 某 个 具体 的 
时 间 段 内 ， 列 表 中 的 密码 将 符合 系统 所 期 待 的 密码 。 


基于 令 牌 的 认证 


有 两 个 解决 方案 使 用 了 “你 所 拥有 的 菜 样 东西 ”这 种 方法 ， 这 种 方法 涉及 到 了 令 牌 或 卡 
的 使 用 ， 并 且 使 用 了 一 次 性 密码 或 者 询问 -响应 认证 。 在 一 次 性 密码 解决 方案 中 ， 一 个 手持 认 
证 设备 或 者 内 部 硬件 卡 用 来 每 隔 60 秒 生成 一 个 有 效 密码 。 设 备 本 身受 到 一 个 内 部 保存 的 密码 
的 保护 ， 在 得 到 生成 的 密码 之 前 ， 用 户 必 须 向 令 牌 提供 该 密码 。 服 务 器 有 能 力 为 用 户 生成 针 
对 具体 时 间 段 的 恒 等 密 码 。 客 户 设备 生成 的 密码 需要 同 服务 器 生成 的 密码 相 匹 配 。 然 而 ， 基 
于 日 时 的 认证 也 存在 缺点 ， 它 们 需要 协调 和 维护 认证 设备 和 服务 器 之 问 的 时 钟 。 

这 种 认证 类 型 要 比 单一 密码 认证 强大 的 多 。 在 这 种 方案 中 ， 被 截获 的 密码 绝对 不 会 重新 
用 来 获得 系统 的 进入 权 。 然 而 ， 由 于 密码 通常 在 60 秒 的 时 间 内 有 效 ， 所 以 攻击 者 可 以 在 这 段 
时 间 内 截获 并 重新 使 用 密码 。 图 A-1 说 明了 一 个 基于 日 时 的 双 因 素 认 证 示例 。 

询问 -响应 解决 方案 并 不 依赖 于 一 个 基于 时 间 的 密码 ， 而 是 通过 处 理 一 个 询问 值 来 产生 一 
个 响应 值 。 在 这 种 解决 方案 中 ， 用 户 首先 向 服务 器 提出 一 个 认证 请 求 ， 然 后 服务 器 向 用 户 返 








客户 机 具有 一 个 可 以 生成 
“惟一 密码 的 认证 设备 








服务 器 也 在 日 时 的 基础 上 生 


成 一 个 数字 密码 
174545434 


客户 机 输入 所 生 -一 > 如 果 密 钥 相 同 ， 那 么 用 
成 的 密码 


《 一 一 174545434 
户 就 通过 认证 





图 A-1 基于 日 时 的 一 次 性 密码 








客户 机 使 用 一 个 PIN 来 启用 设 
备 并 启动 登录 





784365 结 果 是 什么 
客户 机 输入 密码 以 启用 设备 


服务 器 比较 两 个 值 ， 如 果 
二 者 匹配 的 话 ， 那 么 用 户 
就 通过 认证 


个 


客户 机 输入 询问 






算法 产生 875643534 作 为 
-一 一 一 | 响应 并 把 它 转 发 到 服务 


器 上 





图 A-2 询问 -响应 认证 
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回 一 个 数字 代码 。 与 此 同时 ， 服 务 器 使 用 一 个 加 密 算法 的 拷贝 并 使 用 该 数字 代码 生成 一 个 一 
次 性 密码 。 使 用 一 个 认证 令 牌 或 者 软件 ， 用 户 把 该 代码 输入 到 自己 的 本 地 系统 上 。 本 地 令 牌 
或 者 软件 使 用 该 数字 代码 ( 作为 一 个 密 钥 ) 并 执行 服务 器 上 的 加 密 算 法 来 生成 一 个 一 次 性 密 
码 ， 并 接着 把 结果 发 回 到 服务 器 上 。 如 果 这 个 密码 同 服务 器 所 生成 的 密码 相 一 致 ， 那 么 用 户 
就 通过 认证 。 一 旦 用 户 通 过 认证 ， 密 码 就 不 再 有 效 ， 并 且 再 也 不 会 重用 。 图 A-2 说 明了 这 种 询 
问 -响应 技术 。 

询问 -响应 方法 的 优点 在 于 密码 真正 是 一 个 一 次 性 密码 并 且 绝 对 不 会 被 截获 并 重 发 。 另 一 
方面 ， 许 多 用 户 对 必须 进行 两 个 来 回 (初始 登录 请 求 和 询问 响应 ) 颇 有 抱怨 。 基 于 事件 的 一 
次 性 密码 技术 并 没有 得 到 用 户 的 青睐 ， 这 是 因为 它们 要 求 用 户 既 要 使 用 一 个 密码 来 启用 设备 
又 要 对 服务 器 的 请 求 提交 一 个 响应 。 

智能 卡 的 使 用 可 以 极 大 地 提高 和 加 强 认证 方法 。 有 些 智能 卡 实现 方案 在 卡 本 身 中 保存 了 
个 人 标识 号 (Personal Identification Number，PIN ) 信息 、 加 密 算法 、 加 密 密 钥 以 及 其 他 一 些 
受 保护 的 信息 。 内 崔 于 智能 卡 中 的 微 芯片 具有 处 理 能 力 ， 可 用 来 进行 所 需 的 加 密 。 在 这 种 方 
式 中 ， 客 户 机 系统 不 需要 关心 加 密 密 钥 或 者 算法 的 安全 存储 问题 。 

使 用 密码 保护 的 认证 设备 要 比 单一 密码 认证 强大 的 多 ， 因 为 一 个 认证 因素 的 丢失 不 会 使 
攻击 者 有 机 可 乘 。 而 两 个 因素 同时 失败 的 可 能 性 则 是 非常 小 的 。 另 外 ， 这 种 方案 还 提供 了 多 
种 形式 的 移动 强 认证 。 


基于 生物 特征 的 认证 


基于 物理 特征 或 者 个 人 特征 的 认证 是 一 种 更 强大 的 认证 方式 。 这 种 基于 生物 信息 ( 你 自 
身 具备 的 某 样 东西 ) 的 认证 称 做 第 三 因素 认证 。 很 多 不 同 的 生物 特征 类 型 都 可 用 于 认证 ， 例 
如 指纹 、 手 印 、 语 音 或 者 虹膜 扫描 等 。 击 键 模式 速度 之 类 的 瞬时 测量 也 可 用 来 区 分 人 。 手 写 
签名 也 是 提供 认证 的 一 种 方式 ， 但 是 以 图 形 形 式 来 捕获 它 是 非常 困难 的 。 

认证 手写 签名 的 一 种 方式 是 测量 签名 笔 的 速度 和 移动 而 不 是 分 析 签 名 结果 。 这 种 方式 能 
、 比 分 析 实 际 签名 提供 更 好 的 认证 。 

由 于 生物 特征 数据 是 通过 传感器 或 者 扫描 器 获得 的 ， 因 此 所 得 到 的 结果 就 有 可 能 是 不 完 
整 的 或 者 不 正确 的 。 生 物 特征 方法 的 性 能 是 建立 在 统计 学 上 的 误 拒 绝 和 误 接受 百分比 上 的 。 
当 一 个 有 效 的 个 体 被 认证 过 程 拒绝 时 ， 这 就 发 生 了 一 次 误 拒绝 ， 当 一 个 无 效 的 个 体 被 认证 过 
程 接 受 时 ， 这 就 发 生 了 一 次 误 接受 。 如 果 不 对 生物 特征 数据 进行 另外 加 密 ， 网 络 上 的 生物 特 
征 认证 仍旧 有 可 能 被 截获 并 重 发 。 


基于 位 置 的 认证 


基于 地 理 位 置 的 认证 也 是 一 种 可 用 的 认证 形式 。 这 种 认证 方法 需要 认证 方 精确 地 定位 用 
户 的 具体 位 置 ， 然 后 把 结果 同 所 预期 的 位 置 进 行 比较 。 通 过 全 球 定位 系统 《Global 
Positioning System，GPS ) 卫星 所 提供 的 信息 ， 认证 方 可 以 生成 一 个 具体 的 位 置 特征 。 然 后 
认证 系统 把 结果 同 所 预期 的 客户 机 系统 位 置 ( 数字 形式 ) 进行 比较 。 位 置 特 征 随 着 卫星 的 轨 
道 移动 而 变化 ， 因 而 攻击 者 无 法 进行 重 发 攻击 。 使 用 这 种 方式 ， 连 续 的 认证 也 是 可 能 的 。 客 
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户 机 也 可 以 认证 服务 器 的 具体 位 置 ， 从 而 做 到 互相 认证 。 当 一 个 用 户 的 标识 设备 被 窃取 了 以 
后 ， 如 果 窃 贼 再 继续 使 用 该 设备 的 话 ， 那 么 认证 系统 可 以 查 明 窃 贼 的 精确 位 置 。 


高 级 认证 标准 


联邦 信息 处 理 标准 出 版 物 190 ( Federal Information Processing Standards Publication 190， 
FIPS 190 ) 为 用 户 选 择 使 用 高 级 认证 技术 方案 提供 了 指导 原则 。 该 文档 是 美国 国家 标准 和 技 
术 协 会 (National Institute of Standards and Technology，NIST ) 提出 的 ， 它 是 对 联邦 部 门 和 
机 构 进行 设计 、 获 取 以 及 实现 认证 系统 的 指导 说 明 。 这 份 指导 书 对 包括 密码 技术 和 生物 实现 
在 内 的 多 种 认证 方法 提供 了 一 个 很 好 的 概括 说 明 。 另 外 ， 它 还 概述 了 认证 加 密 技术 ， 并 且 提 
供 了 实现 指导 原则 。 
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附录 B 智 能 卡 


智能 卡通 常 指 的 是 内 嵌 有 微型 芯片 的 卡 ， 它 们 具有 同 信 用 卡 一 样 的 大 小 和 形状 。 这 种 微 
型 芯片 可 以 提供 只 读 的 和 可 更 新 的 数据 存储 器 ， 并 且 可 以 包含 一 个 带 有 操作 系统 的 处 理 器 ， 
它 具 有 执行 存储 程序 的 能 力 。 使 用 一 个 特殊 的 读 卡 器 ， 我 们 可 以 访问 卡 上 的 微型 芯片 (使 用 
卡 上 的 暴露 触 点 )。 有 些 智能 卡 不 需要 有 触 点 ， 它 们 可 以 通过 电子 感应 进行 通信 一 一 只 要 让 它 
们 接近 读 卡 器 就 可 以 。 还 有 一 些 智能 卡 实现 利用 了 可 在 远 处 读 取 和 更 新 智能 卡 的 无 线 电 频 率 。 
这 种 类 型 的 智能 卡 广泛 用 在 收费 公路 或 者 收费 桥 对 车 辆 进行 的 交通 收费 上 。 当 车 辆 驶 近 收 费 
站 时 ， 就 可 以 读 取 卡 上 的 信息 。 

最 简单 的 智能 卡 是 存储 器 卡 ， 这 种 卡 上 内 败 的 微型 芯片 具有 特殊 的 数据 存储 能 力 。 法 国 
公共 电话 系统 是 这 种 类 型 智能 卡 的 最 早 应 用 之 一 。 智 能 卡 可 用 来 存储 一 定数 额 的 预付 资金 ， 
从 而 取代 了 硬币 。 例 如 ， 它 可 以 包含 25 块 钱 的 信用 量 。 如 果 要 打 公共 电话 ， 只 要 把 这 种 预付 
卡 插 到 读 卡 器 里 面 就 可 以 了 。 通 话 结束 以 后 ， 电 话 会 自动 计算 通话 费 ， 并 从 卡 上 所 保存 的 数 
额 中 减 去 相应 的 数额 。 这 种 卡 可 以 一 直 使 用 直到 卡 上 的 钱 花 光 为 止 ， 这 时 候 持 卡 人 需要 买 一 
张 新 的 预付 卡 。 

多 个 或 者 个 人 存储 卡 是 存储 卡 的 一 个 变种 。 这 种 卡 上 的 数据 存储 可 以 分 为 几 个 独立 的 区 
域 。 对 这 些 区 域 的 访问 受到 了 独立 密码 或 者 个 人 标识 号 (PIN ) 的 保护 。 这 种 类 型 的 卡 可 以 用 
来 存储 具有 不 同 用 途 的 多 项 信息 ， 也 可 以 使 用 密码 或 者 PIN 来 保护 不 同 的 特殊 数据 。 更 高 级 的 
智能 卡 可 以 在 卡 上 带 有 一 个 处 理 器 ， 并 且 拥 有 一 个 操作 系统 。 这 种 处 理 器 可 用 来 执行 卡 本 身 
的 程序 ， 从 而 可 以 实现 非常 复杂 的 应 用 。 这 种 类 型 的 卡 已 经 用 来 存储 和 执行 卡 上 的 加 密 算法 。 
加 密 算 法 和 密 钥 保存 在 卡 上 ， 并 且 可 以 随处 移动 。 这 降低 了 管理 函数 的 复杂 程度 ， 从 而 可 以 
在 特定 的 实现 中 提供 强大 的 安全 性 。 

除了 基于 处 理 器 的 卡 以 外 ， 有 些 卡 还 带 有 一 个 小 型 键盘 和 显示 器 。 这 种 类 型 的 卡 也 称 做 
令 牌 ， 它 们 的 使 用 可 以 不 需要 读 卡 器 。 这 种 卡 有 时 候 用 来 提供 安全 凭证 和 一 次 性 密码 ， 或 者 
提供 询问 -响应 能 力 。 卡 上 键盘 的 作用 是 允许 用 户 输入 一 个 PIN 来 证 明 自己 是 卡 的 真正 拥有 者 ， 
从 而 可 以 启用 卡 。 | 


智能 卡 的 用 途 


智能 卡 广泛 用 于 同安 全 相关 的 多 种 不 同 功能 。 智 能 卡 最 常见 的 用 途 是 提供 第 二 和 第 三 功 
能 认证 。 第 二 功能 认证 指 的 是 用 户 所 拥有 的 菜 样 东西 ( 例如 智能 卡 )， 第 三 功能 则 是 确切 的 标 
识 用 户 〔 例如 指纹 或 者 虹膜 )。 为 了 支持 第 二 功能 认证 ， 智 能 卡 有 时 候 用 来 生成 一 个 只 能 被 用 
户 访问 的 秘密 数据 。 例 如 ， 用 户 输入 一 个 PIN 以 启用 智能 卡 ， 然 后 访问 卡 上 的 安全 存储 区 域 以 
便 执 行 卡 上 的 一 个 程序 。 下 面 是 使 用 智能 卡 来 支持 安全 需求 的 一 些 实现 例子 : 

.询问 -响应 一 目标 处 理 器 以 随机 数 的 形式 生成 一 个 询问 。 然 后 智能 卡 处 理 该 随机 数 ， 

并 且 使 用 某 种 加 密 算法 和 一 个 保密 密 钥 生成 一 个 响应 。 该 响应 同 处 理 器 提供 的 一 个 计算 

好 的 响应 进行 比较 。 如 果 卡 的 响应 同 计算 好 的 响应 一 致 ， 那 么 该 智能 卡 以 及 它 的 用 户 就 
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通过 了 认证 。 启 用 智能 卡 功能 首先 需要 用 户 输入 一 个 PIN。 

。 加 密 一 一 加 密 算法 可 以 保存 和 执行 在 卡 本 身上 。 需 要 加 密 的 字符 集合 被 送 到 卡 上 ， 然 后 
加 密 过 的 字符 集合 返回 。 保 密 的 加 密 密 钥 不 会 泄漏 ， 并 且 也 永远 不 会 离开 卡 。 在 这 种 方 
式 下 ，PIN 可 以 内 部 验证 而 无 需 通 过 网 络 发 送 。 卡 也 可 以 用 来 生成 附加 到 消息 上 的 电子 
签名 。 

。 保 存 照片 一 一 使 用 智能 卡 来 保存 可 用 于 认证 用 户 的 数字 照片 。 

。 一 次 性 密码 一 一 卡 上 的 密码 生成 机 制 是 与 目标 处 理 器 上 的 机 制 同 步 执 行 的 。 每 次 使 用 卡 
的 时 候 ， 它 就 生成 一 个 惟一 的 密码 ， 并 与 目标 处 理 器 上 生成 的 密码 进行 比较 。 这 个 密码 
是 惟一 的 ， 并 且 在 一 个 短 的 时 间 间 隔 内 就 改变 。 如 果 两 个 密码 一 致 ， 那 么 用 户 就 通过 了 
认证 。 

。 生 物 数据 一 一 数字 化 的 指纹 、 虹 膜 扫 描 或 者 其 他 个 人 惟一 信息 保存 在 卡 上 。 这 些 信 息 用 
来 同 用 户 的 实际 特征 进行 比较 。 

。 任 证 的 安全 存储 一 一 卡 可 以 用 来 安全 地 存储 凭证 或 者 会 话 密 钥 。 卡 也 可 以 用 来 安全 地 存 
储 分 布 式 的 加 密 密 钥 。 

。 单 一 登录 一 一 卡 可 以 用 来 存储 一 套 标 识 和 密码 ， 这 些 数 据 本 身受 到 一 个 加 密 PIN 号 或 者 
密码 的 保护 。 这 种 安全 的 存储 可 以 被 访问 ， 并 且 标识 和 密码 可 用 来 登录 到 各 种 应 用 程序 
或 者 系统 上 。 这 种 方法 安全 地 解决 了 多 标识 和 多 密码 问题 ， 同 时 不 会 要 求 用 户 非得 记 住 
这 些 信 息 。 

标准 

当前 用 于 智能 卡 的 标准 是 由 ISO 7816 标 准 集 规定 的 。 这 些 标准 定义 了 卡 的 物理 特性 以 及 
卡 上 微型 芯片 的 尺寸 和 和 位置， 它们 还 规定 了 电子 信号 和 传输 协议 ， 以 及 用 于 交换 的 工业 间 命 
令 。 内 岩 的 微型 芯片 是 使 用 位 于 卡 上 特殊 位 置 的 8 个 标准 触 点 来 访问 的 。 ISO 正在 积极 地 把 
7816 标 准 集 扩展 到 应 用 程序 和 公共 数据 元 素 的 注册 领域 中 。 当 前 的 ISO 规范 包括 : 

。ISO 7816-1: 标识 卡 一 一 integrated circuit(s) cards with contacts; Part 1; Physical 
Characteristics, 1987 ( 带 有 触 点 的 集成 电路 卡 ; 第 1 部 分 ; 物理 特性 ，1987 ) 

。ISO 7816-2: 标识 卡 一 一 integrated circuit(s) cards with contacts; Part 2; Dimensions and 
Location of Contacts, 1988 ( 带 有 触 点 的 集成 电路 卡 ; 第 2 部 分 ; 触 点 尺寸 和 位 置 ， 
1988 ) 

。ISO 7816-2: 标识 卡 一 一 integrated circuit(s) cards with contacts; Part 3; Electronic 
Signals and Transmission Protocols, 1989 ( 带 有 触 点 的 集成 电路 卡 ; 第 3 部 分 ; 电子 信号 
和 传输 协议 ，1989 ) 

。ISO 7816-2: 信息 技术 (标识 卡 ) 一 一 integrated circuit(s) cards with contacts; Part 4; 
Inter-Industry Commands for Interchange, 1993( 带 有 触 点 的 集成 电路 卡 ; 第 4 部 分 ; 用 
于 交换 的 工业 间 命令 ，1993 ) 

分 布 式 计算 环境 (DCE ) 正在 试图 把 智能 卡 技术 添加 到 它 的 当前 安全 功能 中 。DCE 智 能 

卡 的 介绍 和 规范 包含 在 开放 软件 基金 会 的 两 个 RFC 文 档 中 : OSF DCE RFC 57.0 一 一 Smart 
Card Introduction〈 智 能 卡 介 绍 ) 和 OSF DCE RFC 57.1 一 一 Smart Card Integration ( 智能 卡 集 
成 )。 介绍 文档 说 明了 智能 卡 概念 以 及 在 DCE 中 使 用 它们 的 通用 方法 。 集成 文档 说 明了 如 何 把 
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智能 卡 用 于 DCE 的 双 因 素 认证 。 提 议 标 准 调用 智能 卡 存储 用 户 的 长 期 DCE 密 钥 。 为 了 访问 该 
密 钥 并 登录 到 DCE 中 ， 用 户 必 须 拥 有 智能 卡 ， 并 且 必 须知 道 访问 卡 上 的 密 钥 文件 所 需 的 密码 。 


PCMCIA 卡 


另 一 项 用 来 实现 智能 卡 系统 的 技术 是 PCMCIA 卡 。 成 立 个 人 计算 机 内 存 卡 接口 协会 
( Personal Computer Memory Card Interface Association，PCMCIA ) 的 原因 是 希望 为 具有 信用 
卡 般 大 小 的 PC 插入 适配器 开发 一 套 标准 。PCMCIA 卡 同 信用 卡尺 寸 相当 ， 但 要 厚 一 些 。 
PCMCIA 卡 定义 了 三 种 类 型 的 卡 ， 其 中 每 个 都 具有 不 同 的 厚度 。PCMCIA 卡 提供 了 扩展 的 数 
据 存储 和 处 理 能 力 ， 它 们 广泛 用 来 为 笔记 本 电脑 和 膝 上 机 提供 调制 解 调 器 和 LAN 适 配器 。 它 
们 也 提供 了 附加 的 存储 器 ( RAM 内 存 或 者 硬盘 )， 并 且 可 用 于 通信 设备 ( 以 调制 解 调 器 和 
LAN 连 接 的 形式 )。 许 多 PC 厂商 都 把 PCMCIA 功 能 包含 在 他 们 的 机 器 中 ， 这 保证 了 该 标准 能 够 
长 期 存在 下 去 。 


智能 卡 的 问题 


智能 卡 本 身 可 以 包含 重要 的 信息 或 者 安全 访问 功能 ， 这 是 使 用 智能 卡 必须 考虑 的 主要 问 
题 之 一 。 如 果 卡 失效 了 或 者 丢失 了 ， 那 么 其 他 资源 可 能 就 不 容易 可 用 了 。 关 于 智能 卡 的 标准 
正在 继续 演化 。ISO 标 准 规定 了 卡 的 物理 特性 ， 但 是 卡 的 使 用 标准 还 没有 达到 同样 的 水 平 。 如 
果 所 有 的 系统 访问 点 都 需要 有 一 个 读 卡 器 ， 那 么 成 本 是 非常 高 的 。 因 为 许多 笔记 本 和 膝 上 PC 
都 把 PCMCIA 能 力作 为 一 项 标准 配置 予以 提供 ， 所 以 芯片 卡 可 能 不 需要 加 入 到 PCMCIA 中 。 
智能 卡 为 安全 实现 提供 了 增强 的 能 力 ， 但 它 本 身 不 是 一 个 解决 方案 。 

尽管 存在 着 这 些 问 题 ,智能 卡 的 使 用 仍旧 会 越 来 越 广泛 。 它 们 为 认证 密 钥 、 加 密 算法 以 
”及 其 他 安全 机 制 提供 了 一 个 安全 的 存储 机 制 。 这 样 为 计算 安全 问题 的 解决 提供 了 一 个 有 价值 
的 工具 。 
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附录 C 个 人 计算 机 的 安全 


使 用 DOS、OS/2 以 及 Windows 环 境 的 个 人 计算 机 具有 独特 的 安全 问题 。 使 用 这 些 操 作 系 
统 的 个 人 计算 机 几乎 没有 什么 安全 控制 ， 即 使 有 ， 它 们 也 是 非常 容易 被 破坏 的 。 这 些 控制 通 
常 只 限于 屏幕 锁定 和 启动 密码 。 屏 幕 锁定 控制 在 一 段 无 交互 时 间 以 后 锁定 屏幕 ， 如 果 用 户 要 
继续 操作 机 器 ， 他 们 必须 首先 输入 一 个 密码 。 有 许多 不 同 的 屏幕 锁定 实现 ， 但 是 通过 重启 系 
统 ， 它 们 中 的 大 多 数 都 可 以 击破 。 

有 些 个 人 计算 机 人 允许 使 用 密码 来 保护 启动 过 程 。 同 样 ， 只 需要 简单 的 从 一 个 软盘 上 启动 ， 
这 些 控制 通常 就 可 以 破坏 。 保 存在 个 人 计算 机 上 的 屏幕 锁定 密码 有 很 多 问题 。 例 如 ， 有 种 屏 
保 程序 把 屏幕 锁定 密码 以 加 密 的 形式 保存 在 文件 control.ini 中 ， 如 果 该 文件 被 拷贝 ， 那 么 通过 
使 用 前 面 第 12 章 中 讨论 过 的 密码 破解 技术 ， 加 密 过 的 密码 字符 串 就 可 以 被 破解 出 来 。 破 解 了 
屏幕 锁定 密码 以 后 ， 攻 击 者 就 可 以 访问 PC 上 的 所 有 一 切 ， 所 以 安全 风险 就 不 仅仅 只 限于 个 人 
计算 机 及 其 数据 了 。 用 户 可 能 在 别处 也 使 用 该 密码 ， 从 而 造成 更 大 的 安全 暴露 问题 。 通 过 发 
现 屏幕 锁定 密码 ， 攻 击 者 可 能 能 够 访问 网 络 或 者 其 他 更 重要 的 计算 系统 。 

一 些 个 人 计算 机 软件 ， 包 括 数据 库 、 字 处 理 器 以 及 电子 表格 软件 在 内 ， 提 供 了 加 密 选 项 。 
不 幸 的 是 ,它们 所 用 的 加 密 通 常 是 脆弱 的 ， 并且 可 以 很 容易 击破 。 因 特 网 上 的 很 多 工具 都 可 
以 用 来 破解 流行 PC 软件 产品 所 使 用 的 加 密 方 案 。 

基于 DOS 或 者 DOS/Windows 的 系统 还 有 另外 一 个 问题 ， 即 它们 不 是 为 多 用 户 设计 的 。 只 
要 获得 了 系统 访问 权 ， 任 何人 都 可 以 完全 访问 所 有 的 文件 和 目录 。Windows 95 提 供 了 有 限 的 
多 用 户 能力 ， 但 不 幸 的 是 ， 它 是 不 安全 的 。WIN95 提 供 了 一 个 通过 用 户 ID 和 密码 保护 的 登录 
画面 。 然 而 ， 通 过 按 Cancel 或 者 Escape 键 ， 可 以 很 容易 的 绕 过 默认 设置 。 这 会 让 你 进入 一 个 
默认 的 用 户 设置 。 在 该 设置 中 ， 可 以 访问 同样 的 系统 文件 和 目录 只 要 有 一 个 有 效 的 密 
码 ! 通过 限制 授予 给 默认 用 户 的 资源 ， 安 全 性 可 能 得 到 提高 ， 但 是 这 需要 深入 了 解 Windows 
95 的 配置 知识 。 普 通用 户 很 难 实 现 这 些 控 制 。 

在 讨论 用 于 个 人 计算 机 的 安全 解决 方案 之 前 ， 我 们 先 来 探讨 一 下 这 种 计算 环境 中 的 最 让 
人 头疼 也 最 具有 破坏 力 的 问题 一 一 病毒 ! 


C.1 病毒 


计算 机 病毒 是 造成 桌面 系统 竣 疾 的 最 常见 的 原因 之 一 。 造 成 损失 的 原因 在 于 病毒 导致 的 
系统 中 断 、 某 些 病毒 的 破坏 性 ， 以 及 修复 竣 痰 机 器 所 涉及 的 工作 。 对 于 该 问题 来 说 ， 病 毒 是 
最 贴切 的 名 字 。 如 果 不 做 防备 ， 病 毒 会 在 毫 无 警告 的 情况 下 在 “干净 ”机 器 上 发 作 并 扩散 。 
有 些 病 毒 可 能 并 不 会 造成 什么 破坏 ,但 有 些 病毒 则 会 造成 极 大 的 破坏 效果 。 不 管 哪 种 ， 它 们 
都 会 降低 机 器 的 工作 效率 。 

一 种 相对 较 新 的 病毒 形式 已 经 攻击 了 字 处 理 系统 。 原 来 认为 ， 不 可 能 存在 由 一 个 数据 文 
件 组 成 的 病毒 。 但 是 当 伴随 着 字 处 理 数据 文件 的 宏 病毒 出 现 以 后 ， 这 种 看 法 就 不 再 正确 了 。 
当 使 用 字 处 理 软件 打开 或 者 保存 文档 时 ， 宏 就 会 被 执行 。 与 此 同时 ， 病 毒 就 会 被 邮寄 给 你 。 
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当 发 现 计算 机 感染 了 病毒 以 后 ， 最 常见 的 响应 就 是 使 用 一 个 病毒 扫描 器 来 查找 并 抑制 任 
何 发 现 的 病毒 。 这 种 扫描 器 通常 是 一 个 软件 程序 ， 它 可 以 主动 扫描 所 有 内 存 和 磁盘 存储 器 以 
寻找 表明 已 知 病毒 的 特定 数据 模式 。 发 现 以 后 ， 扫 描 器 就 会 抑制 它们 。 重 新 构建 已 经 被 破坏 
病毒 修改 过 的 数据 通常 是 非常 耗费 时 间 和 精力 的 工作 。 

使 用 反 病毒 程序 来 摆脱 受 感染 的 设备 应 该 是 你 的 最 后 一 道 病毒 防线 ， 而 不 是 第 一 道 防 线 。 
病毒 管理 程序 应 该 具有 一 个 可 用 的 和 定期 的 病毒 扫描 能 力 。 组 织 应 该 实现 一 个 具体 的 病毒 安 
全 策略 以 概括 出 保持 低 病毒 感染 率 的 责任 。 该 策略 应 该 限制 个 人 软件 在 公司 计算 机 上 的 使 用 。 
如 果 要 在 公司 计算 机 上 使 用 一 个 公司 之 外 的 磁盘 ,那么 首先 要 对 该 磁盘 进行 查 毒 工作 。 公 司 
应 该 定义 一 个 在 发 现 了 病毒 以 后 报告 和 处 理 病毒 的 过 程 。 和 如果 不 认真 对 得， 病毒 有 可 能 会 严 
重 消耗 公司 资源 。 


C.2 个 人 计算 机 访问 控制 


如 果 要 解决 桌面 计算 机 的 安全 问题 ， 那 么 除了 迁移 到 具有 全 面 安全 控制 的 操作 系统 〈 例 
如 UNIX 或 者 Windows NT) 上 以 外 ， 剩 下 的 办 法 就 只 有 实现 访问 控制 软件 了 。 使 用 一 个 软件 
包 ， 例 如 Mergent 的 PC DACS 或 者 IPE 的 Protec， 我 们 可 以 把 安全 性 引入 到 个 人 计算 机 中 。 这 
些 解决 方案 一 般 通过 要 求 在 登录 时 提供 用 户 ID 和 密码 来 保护 个 人 计算 机 。 登 录 以 后 ， 用 户 可 
以 被 限制 到 已 选 定 的 文件 、 目 录 和 程序 上 。 

大 多 数 的 访问 控制 解决 方案 都 允许 对 文件 或 者 目录 进行 加 密 〈 可 选 )。 在 这 种 情况 下 ， 即 
使 用 户 访问 控制 被 破坏 了 ， 机 密 数 据 也 受到 了 保护 以 免 遭 发 现 。 这 些 解决 方案 所 使 用 的 加 密 
一 般 是 基于 工业 标准 DES 或 者 RSA 算 法 的 。 一 般 说 来 ， 它 们 要 比 许多 流行 的 PC 产品 所 使 用 的 
加 密 方案 健壮 的 多 。 在 这 些 解决 方案 中 ， 用 户 行为 的 审计 跟踪 也 是 一 个 常见 的 功能 。 


C.2.1 膝 上 PC 


膝 上 电脑 的 使 用 带 来 了 很 多 特殊 的 安全 问题 。 移 动员 工 经 常 在 远程 地 点 或 者 在 家 中 使 用 
膝 上 PC 来 办 公 。 膝 上 PC 的 主要 用 户 是 管理 人 员 、 销 售 人 员 以 及 其 他 白领 专业 人 士 。 它 们 是 可 
移动 的 ， 但 价格 昂贵 ， 这 使 得 它们 要 比 其 他 类 型 的 个 人 电脑 具有 高 得 多 的 失窃 率 。 如 果 自 己 
的 膝 上 PC 落 到 了 其 他 人 的 手中 ， 这 使 他 们 可 以 查看 该 机 器 里 的 任何 机 密 信息 。 许 多 组 织 已 经 
强制 员工 必须 要 在 膝 上 机 上 使 用 PC 访问 控制 软件 ， 并 且 必 须要 对 敏感 数据 目录 进行 加 密 。 这 
样 ， 即 使 员工 的 膝 上 PC 失 穷 ， 公 司 信息 也 不 会 丢失 。 当 接收 一 台 肤 上 电脑 的 时 候 ， 用 户 也 会 
被 警告 谨防 窃贼 。 他 们 不 应 该 把 一 台 膝 上 PC 留 在 汽车 里 ， 并 让 路 过 的 人 看 见 。 当 员工 在 外 扒 
带 膝 上 PC 的 时 候 ,一 定 要 小 心 谨慎 。 当 出 差 时 ,一定 要 在 酒店 里 看 管 好 自己 的 膝 上 PC。 员 工 
应 该 意识 到 ， 如 果 小 偷 在 工作 时 间 知 道 他 们 把 膝 上 PC 留 在 办 公 室 里 ， 那 会 带 来 什么 风险 。 在 
这 种 情况 下 ， 西 装 笔 挺 、 手 拿 公 文 包 的 小 偷 可 以 大 摇 大 所 地 进入 办 公 室 并 顺手 拿 走 三 台 膝 上 
电脑 一 一 整个 过 程 不 超过 30 秒 钟 的 时 间 ， 可 能 会 有 20 多 个 员工 目睹 这 一 蒂 ， 但 肯定 谁 也 不 会 
问 一 句 ! 


C.2.2 数据 安全 


最 近 媒 体 报道 了 很 多 安全 信息 泄漏 事故 一 一 在 这 行事 故 中 ， 很 多 敏感 数据 ， 包括 医疗 记 
录 和 其 他 信息 在 内 ， 被 不 小 心 泄漏 到 公众 中 。 有 时 候 ， 旧 计 算 机 被 送 到 公开 拍卖 地 进行 处 理 。 
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尽管 拍卖 者 已 经 小 心 谨慎 的 删除 了 所 有 的 文件 和 目录 ,但 是 要 知道 有 时 候 删 除 过 的 文件 是 可 
以 被 “ 反 删 除 ” 的 一 一 相信 当 责 任 方 知道 这 一 点 以 后 ， 他 们 一 定 会 非常 震惊 ! 在 DOS 操 作 系 
统 中 ,删除 文件 只 是 删除 文件 在 文件 分 配 表 ( file allocation table，FAT ) 中 的 对 应 项 。 除 非 
被 其 他 数据 覆盖 了 ， 否 则 实际 文件 仍然 会 留 在 磁盘 上 。 反 删除 过 程 就 是 重新 建立 文件 分 配 表 ， 
并 重新 建立 指向 仍旧 留 在 磁盘 上 的 实际 数据 的 指针 。 

与 此 类 似 ， 如 果 软 盘 没 有 正确 清除 的 话 ， 机 密 信 息 也 会 泄漏 。 许 多 组 织 要求 软 盘 和 硬盘 
必须 清除 一 一 使 用 商业 的 或 者 流行 的 文件 删除 工具 。 这 些 工具 通过 多 次 重 写 数据 区 域 做 到 真 
正 的 删除 文件 。 然 而 ， 使 用 非常 复杂 的 工具 ， 一 些 专 门 的 服务 可 以 从 磁盘 上 恢复 已 经 删除 和 
重 写 的 数据 。 当 处 理 用 来 保存 高 度 机 密 信息 的 磁盘 时 ， 请 务必 小 心 ! 


C.3 安全 应 该 扩展 的 程度 


当 设 计 一 个 计算 应 用 程序 或 者 总 体 环境 时 ， 一 个 重要 的 安全 考虑 是 ， 安 全 性 是 否 只 应 该 
在 服务 器 上 实现 ?应 该 加 密 网 络 流量 以 防止 密码 欺骗 或 者 重 发 攻击 吗 ? 如 果 网 络 安全 实现 了 ， 
那么 需要 在 个 人 计算 机 上 实现 另外 的 安全 控制 吗 ? 如 果 个 人 计算 机 用 来 存放 机 密 数 据 ， 那 么 
访问 控制 就 应 该 是 必需 的 。 然 而 ， 即 使 不 把 敏感 信息 保存 在 个 人 计算 机 上 ， 它 们 也 有 可 能 遭 
到 特洛伊 木马 攻击 。 这 种 攻击 类 型 会 使 用 一 个 可 以 截获 用 户 密码 的 伪造 程序 来 替代 PC 程序 
(例如 网 络 登 录 工 具 )。 


C.4 结论 


在 过 去 ， 安 全 工作 只 集中 在 服务 器 上 (例如 大 型 机 安全 )。 近 来 ， 人 们 的 关注 焦点 已 经 移 
动 到 了 网 络 上 。 客 户 机 -服务 器 安全 的 根本 在 于 一 个 把 安全 性 从 用 户 的 键盘 或 者 鼠标 扩展 到 服 
务 器 上 的 环境 。 无 锋 的 安全 性 应 该 集成 到 客户 机 -服务 器 模型 中 的 全 部 三 种 主要 组 件 中 : 客户 
机 、 服 务 器 以 及 网 络 。 


附录 D 远程 访问 


员工 可 能 需要 在 组 织 的 物理 位 置 以 外 访问 组 织 的 应 用 程序 、 系 统 以 及 网 络 。 具 有 这 种 需 
要 的 用 户 包括 在 家 中 工作 的 员工 、 厂 商 、 公 司 支 持 人 员 以 及 移动 的 路 边 打 架 者 。 对 于 大 多 数 
组 织 来 说 ,解决 方案 就 是 在 串 行 电话 线路 上 提供 一 个 直接 的 拨号 访问 ,或 者 使 用 一 个 公共 网 
络 (例如 因特网 ) 提供 间接 访问 。 因 为 这 两 种 解决 方案 都 会 被 外 部 人 员 访 问 ， 因 此 如 果 一 个 
组 织 没有 正确 地 保证 其 系统 安全 ， 它 就 会 面临 非常 大 的 安全 风险 。 我 们 已 经 在 第 14 章 中 讨论 
了 很 多 同 使 用 因特网 有 关 的 安全 问题 。 串 行 电话 链 路 也 可 以 被 破坏 。 使 用 war dialer 的 工具 
(该 工具 访问 一 个 给 定 范围 内 的 所 有 电话 号 码 以 寻找 一 个 与 其 通信 的 计算 机 )， 黑 客 可 以 很 容 
易 地 发 现 用 于 远程 访问 的 电话 号 码 。 幸 运 的 是 ， 目 前 市 场 上 已 经 有 了 用 于 安全 远程 访问 的 解 
决 方案 。 

然而 ， 这些 解决 方案 必须 要 用 同 户 对 连接 能 力 、 性 能 以 及 易 用 性 的 需要 取得 平衡 。 一 般 
情况 下 ， 用 户 也 需要 在 办 公 室 里 的 桌面 机 上 访问 同样 的 应 用 程序 和 服务 。 通 常 这 意味 着 访问 
大 型 机 和 基于 LAN 的 系统 。 同 大 多 数 的 安全 机 制 一 样 ， 一 个 无 效 的 解决 方案 会 强迫 用 户 群体 
实现 他 们 自己 的 解决 方案 。 使 用 廉价 的 远程 访问 软件 ， 只 要 有 一 台 计 算 机 和 一 个 调制 解 调 器 ， 
用 户 就 可 以 很 容易 地 实现 能 够 对 公司 网 络 提供 远程 访问 的 解决 方案 。 


集中 式 解决 方案 


大 多 数组 织 都 是 通过 一 个 集中 式 系统 来 满足 远程 用 户 的 需要 。 这 种 整体 解决 方案 不 但 要 
比 用 户 实现 的 解决 方案 便宜 ， 而 且 它 还 可 以 引入 标准 化 的 安全 控制 ， 例 如 审计 跟踪 和 安全 认 
证 。 然 而 ,一 个 笨重 的 或 者 不 提供 对 所 需 系统 或 网 络 进行 访问 的 集中 式 远程 访问 解决 方案 可 
能 会 逼迫 用 户 群体 必须 自己 实现 访问 解决 方案 。 用 户 实现 的 解决 方案 通常 要 比 集中 式 的 解决 
方案 具有 更 差 的 安全 性 ， 并 且 会 为 组 织带 来 严重 的 安全 风险 。 

最 常用 的 远程 访问 控制 类 型 涉及 到 了 用 户 ID 、 密 码 以 及 回 拨 安 全 性 的 使 用 。 串 行 线路 上 
的 密码 被 看 做 是 最 低级 的 保护 单位 。 黑 客 可 以 使 用 密码 猜测 攻击 来 获得 非法 系统 人 口 。 许 多 
组 织 也 要 求 使 用 一 个 回 拨 机 制 ， 当 用 户 提供 了 用 户 ID 及 相关 密码 以 后 ， 回 拨 机 制 就 挂 断 电 话 ， 
然后 在 一 个 预定 义 的 位 置 上 回 拨 用 户 。 这 种 方案 对 于 远程 的 静态 用 户 来 说 是 非常 好 的 。 但 对 
于 那些 不 断 改 变 拨 叫 电话 位 置 的 移动 用 户 来 说 ， 这 种 方案 是 不 可 接受 的 。 然 而 ， 通 过 保持 电 
话 线路 的 忙 状态 ， 黑 客 也 可 以 破坏 回 所 方案 。 因 此 ， 许 多 组 织 要 求 使 用 在 附录 A 和 B 中 讨论 过 
的 令 牌 或 者 智能 卡 来 实现 强大 的 安全 认证 。 


加 密 


即使 使 用 了 强大 的 安全 认证 ， 在 公开 线路 或 者 因特网 之 类 的 不 可 信 媒 介 上 传输 敏感 数据 
仍然 可 能 需要 对 数据 进行 加 密 。 许 多 远程 访问 解决 方案 提供 了 对 通信 的 按 需 加 密 或 者 完全 加 
密 功能 。 这 些 解 决 方案 也 提供 了 用 户 访问 的 审计 跟踪 ， 其 中 包括 访问 时 间 、 访 问 长 度 以 及 网 
络 访问 。 然 而 ， 远 程 访问 解决 方案 一 般 并 不 提供 一 个 完整 的 用 户 行为 审计 跟踪 。 尽 管 对 一 个 
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服务 器 的 初始 请 求 可 能 会 记录 下 来 ,但 是 对 另外 的 系统 或 者 服务 器 所 进行 的 网 络 访问 一 般 并 
不 会 记录 下 来 。 


远程 支持 


许多 厂商 提供 了 串 行 电话 线路 上 的 远程 故障 诊断 支持 。 除 非 支 持 队 伍 和 客户 有 一 个 非常 
亲密 的 关系 ， 否 则 大 多 数 厂 商都 不 愿意 把 他 们 的 认证 设备 或 者 密码 提供 给 厂商 。 支 持 人 员 对 
系统 和 公司 网 络 的 访问 权 通常 只 是 在 需要 的 时 候 才 授予 。 几 乎 没有 组 织 愿 意 把 访问 权 扩展 到 
厂商 。 

可 以 解决 该 问题 最 常见 的 方案 是 切断 支持 调制 解 调 器 的 电源 ， 或 者 把 它 放 在 一 个 无 效 的 
端口 系统 上 。 当 厂商 需要 访问 时 ， 本 地 系统 支持 人 员 就 打开 调制 解 调 器 的 单元 或 者 激活 端口 。 
连接 受到 一 个 密码 的 保护 ， 该 密码 是 厂商 支持 人 员 在 电话 上 提供 的 。 厂 商 支持 人 员 进入 系统 
或 者 网 络 以 后 ， 该 密码 就 会 改变 。 


结论 


扩展 对 公司 系统 和 网 络 的 访问 权 带 来 的 问题 是 可 以 被 解决 的 。 集 中 式 的 远程 访问 解决 方 
案 可 以 用 来 解决 问题 。 使 用 双 因素 认证 设备 和 集中 式 审计 跟踪 ， 它 们 提供 了 强大 的 认证 机 制 。 
用 户 通 过 认证 以 后 ， 他 同系 统 所 进行 的 通信 就 会 受到 加 密 保护 。 然 而 ， 当 考虑 安全 问题 时 ， 
解决 方案 必须 要 同 用 户 对 连接 能 力 和 性 能 的 需求 取得 平衡 。 如 果 用 户 没 有 在 二 者 之 间 取 得 一 
个 正确 的 平衡 ， 那 么 会 导致 用 户 群 体 实现 自己 的 解决 方案 。 


词 汇 表 


access control ( 访问 控制 ) ”人 允许 对 能 够 利用 计算 资源 的 人 或 者 东西 进行 限制 的 访问 机 
制 。 

Access Control List ( 访问 控制 列表 ，ACL ) ”由 用 户 和 与 其 相关 的 访问 权限 组 成 的 一 个 
列表 ， 当 系统 确定 是 否 应 该 把 对 资源 的 访问 权 授 予 给 某 个 用 户 的 时 候 ， 就 会 检查 该 列表 。 

ACID ”原子 性 、 一 臻 性、 隔离 性 、 持 久 性 。 对 于 事务 来 说 ， 如 果 组 成 该 事务 的 操作 全 部 
完成 ， 或 者 整个 事务 返回 到 操作 开始 之 前 的 状态 ， 那 么 该 事务 就 具有 “原子 性 ”; 如 果 该 事 
务 成 功 地 把 系统 或 者 数据 库 从 一 个 有 效 状 态 转换 到 另 一 个 有 效 状态 ， 那 么 该 事务 具有 “一 致 
性 ”; 如 果 该 事务 虽然 同 其 他 事务 并 发 执行 ， 但 只 有 在 它 完成 以 后 才能 被 其 他 事务 看 见 ， 那 
么 该 事务 具有 “隔离 性 ”; 如 果 当 该 事务 提交 时 它 对 数据 库 所 做 的 所 有 改变 都 成 为 永久 性 的 ， 
那么 该 事务 具有 “一 致 性 ”。 

accountability ( 可 计算 性 ) 在 计算 机 系统 或 者 网 络 上 重新 构建 事件 的 能 力 。 它 允许 系 
统 或 者 网 络 管理 员 跟 踪 在 安全 事故 中 实际 发 生 的 步骤 并 检查 个 体 责任 。 

accreditation { 许可 ) 根据 一 套 预 定义 的 特殊 安全 需求 来 评估 安全 控制 。 

Administrator Account ( 管理 员 账号 ) Windows NT 系统 上 的 一 个 具有 高 级 特权 的 缺 省 
账号 。 | 

Analysis of Risk ( 风险 分 析 ) 参见 风险 分 析 (Risk Analysis )。 

Anonymous FTP ( 匿名 FTP ) 一 个 允许 用 户 使 用 用 户 ID“anonymous” 进行 登录 的 特 
殊 FTP 实 现 。 在 这 种 实现 中 ， 用 户 的 邮件 地 址 用 做 登录 密码 。 通 过 改变 环境 的 根 目录 ( chroot ) 
保护 文件 。 

API 应 用 程序 编程 接口 。 

APPC 应 用 程序 到 应 用 程序 通信 ( Application Program-to-Program Communication ) 的 
简写 形式 。 该 协议 由 IBM 所 定义 ，IBM 把 它 用 在 系统 网 络 体系 结构 中 以 支持 运行 在 独立 操作 
环境 下 的 应 用 程序 之 间 所 进行 的 通信 。 

Application Gateway ( 应 用 网 关 ) 一 种 防火 墙 类 型 ， 它 根据 应 应 用 程序 的 通信 性 质 进行 
访问 判定 。 

APPN 先进 对 等 联网 协议 ( Advanced Peer-to-Peer Networking Protocol ) 的 简写 形式 。 
该 协议 由 IBM 所 定义 ， IBM 把 它 用 在 系统 网 络 体系 结构 中 以 支持 计算 系统 之 间 所 进行 的 通信 。 

ASCI! 美国 信息 交换 标准 码 ( American Standard Code for Information Exchange ) 的 简 
写 形 式 。 它 是 一 种 规定 如 何 把 数字 值 指定 给 字母 、 数 字 、 标点 符号 以 及 控制 字符 的 标准 编码 
方案 ， 它 为 异种 计算 平台 提供 了 互 兼 容 性 。 

audit ( 审计 ) 独立 的 、 有 知识 的 个 体 对 计算 系统 或 者 网 络 进行 的 检查 。 安全 审计 的 结果 
一 般 是 对 所 检查 的 计算 系统 同 可 接受 的 标准 之 间 的 一 致 性 所 做 的 一 份 正式 分 析 报 告 。 

Audit ID ( 审计 ID ) 同 每 个 用 户 相关 的 ID， 用 在 构建 审计 跟踪 中 。 

Audit Trail ( 审计 跟踪 ) 一 套 记 录 ， 以 时 序 顺 序列 举 计算 系统 或 者 网 络 设备 上 的 选 定 事 





件 。 

authentication ( 认证 ) 建立 个 体 标 识 或 者 程序 标识 的 过 程 。 

authorization ( 授权 ) 决定 是 否 授予 对 资源 的 访问 权 。 

availability ( 可 用 性 ) 计算 系统 对 用 户 的 可 用 量 。 

awareness ( 意识 ) 在 安全 术语 中 ， 意 识 指 的 是 用 户 群体 对 对 计算 安全 、 安 全 措施 以 及 
同 用 户 群 体 所 需 的 安全 性 相关 动作 所 具有 的 重要 性 的 一 般 认识 程度 。 _ 

B1 Security ( B1 安 全 性 ) 一 个 操作 系统 安全 级 别 ， 由 TCSEC 定 义 ， 该 级 别 需要 很 多 安 
全 措施 ， 包 括 强 制 的 访问 控制 。 

Bastion Host ( 堡垒 主机 ) ”直接 同 不 可 信和 网 络 进行 交互 的 计算 机 系统 。 它 们 应 该 具有 强 
大 的 安全 控制 。 

Berkeley Services ( 伯克利 服务 ) 也 称 做 “r” 服 务 (riogin、remote shell 一 一 远程 shell 
和 remote copy 一 一 远程 拷贝 )。 这 些 服务 向 其 他 可 信 系 统 扩展 主机 等 效 性 。 

Biometric Based Authentication ( 基于 生物 特征 的 认证 ) ”基于 特殊 生物 信息 〈 例如 指 
纹 或 者 虹膜 扫描 ) 的 认证 。 

Boot、Bootup ( 启动 ) 计算 机 系统 进行 初始 化 的 一 系列 步骤 。 

Business Code of Conduct ( 管理 业务 代码 ) 一 套 有 关 员工 业务 行为 的 正式 规定 ， 通 常 
由 高 级 管理 部 门 批准 。 

C2 Security ( C2 安 全 性 ) 一 个 用 于 操作 系统 的 安全 级 别 ， 由 TCSEC 定 义 ， 该 级 别 指示 
了 包括 保护 加 密 密 码 字符 串 在 内 的 许多 安全 措施 。 

CERT 计算 机 紧急 响应 组 ( computer emergency response team )， 致 力 于 跟踪 计算 机 安 
全 事故 。 

certificate ( 证 书 ) 一 套 信息 集 ， 被 转换 成 不 可 伪造 的 形式 ， 用 于 认证 。 

Certification Authority ( 认证 中 心 ) 被 一 个 或 多 个 用 户 信任 的 管理 中 心 ， 它 可 以 为 用 户 
创建 和 指定 认证 证 书 。 

Change Management ( 改变 管理 ) 一 个 已 定义 的 过 程 ， 用 于 有 序 地 管理 从 一 个 定义 状 
态 到 另 一 个 定义 状态 的 改变 。 

Challenge-Response ( 询问 -响应 ) 一 个 过 程 ， 首先 生成 一 个 惟一 的 值 或 者 标识 符 ， 然 
后 作为 一 个 询问 发 送 到 一 个 已 定义 的 算法 过 程 ， 然 后 该 算法 产生 一 个 响应 。 如 果 该 响应 同 预 
期 值 相等 ， 那么 用 户 就 通过 认证 。 

chroot 一 个 UNIX 系 统 调 用 ， 它 允许 系统 管理 员 把 某 个 目录 变 成 一 个 用 户 的 根 目 录 。 这 
种 行为 有 效 地 限制 了 用 户 遍 历 UNIX 文 件 系 统 的 能 力 。 

criteria ( 标准 ) 在 安全 术语 中 ， 标准 指 的 是 可 以 作为 测量 安全 控制 根据 的 基础 或 者 标 
准 。 

cryptanalysis ( 密码 分 析 ) 在 不 借助 加 密 过 程 使 用 的 加 密 密 钼 的 情况 下 ， 使 用 加 密 算法 
把 加 密 过 的 文本 转化 成 普通 文本 的 操作 。 

cryptography ( 密码 术 ) 一 门 科学 ， 使 用 一 个 专门 的 编码 系统 和 一 个 编码 键 ， 把 信息 打 
乱 成 不 可 理解 的 格式 再 把 信息 还 原 成 可 理解 格式 。 

CICS “客户 信息 控制 系统 ( Customer Information Control System ) 的 简写 , 这 是 IBM 为 
支持 事务 执行 而 开发 的 一 个 程序 产品 。 
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Client/Server Computing ( 客户 机 -服务 器 计算 } 一 种 计算 类 型 ， 其 中 一 台 计 算 机 系统 
(客户 机 ) 通过 网 络 同一 个 资源 提供 者 ( 服务 器 ) 进行 通信 。 单 一 计算 机 可 以 同时 扮演 这 两 个 
角色 。 

Clipper Chip ( Clipper 芯 片 ) Skipjack 加 密 算法 的 一 种 硬件 实现 。 

COFC 商业 面向 功能 分 类 ( Commercial oritentated functionality class )。 欧 洲 计算 机 制造 
商 协会 为 计算 环境 的 商业 使 用 开发 了 一 个 安全 标准 。 

Command interpreter ( 命令 解释 程序 ) “一 个 把 击 键 截获 为 命令 并 根据 其 内 容 来 执行 动 
作 的 计算 机 程序 。 

Comment Line ( 注释 行 ) 在 大 多 数 UNIX 文 件 中 ， 注 释 行 指 的 是 任何 以 一 个 “# 开头 
的 行 。 操 作 系统 会 忽略 注释 行 。 

commitment ( 承诺 ) 管理 部 门 和 用 户 群 体 对 解决 计算 安全 问题 的 渴望 程度 。 

Compliance Monitoring ( 一 致 性 监视 ) ”主动 检查 安全 控制 不 但 存在 而 且 功 能 正常 的 动 
作 。 

confidentiality ( 机 密 性 ) 保护 信息 免 遭 未 经 授权 的 泄漏。 

consistency ( 一 致 性 ) ”对 于 一 个 过 程 来 说 ， 如 果 同 一 输入 会 导致 同样 的 结果 ， 那 么 被 
认为 该 过 程 是 一 致 的 。 

Cooperative Processing ( 协作 处 理 ) 指 的 是 把 应 用 程序 处 理 和 逻辑 分 割 到 一 个 客户 机 
和 一 个 服务 器 上 的 能 力 。 它 们 都 参与 应 用 程序 的 业务 逻辑 的 执行 。 

credential ( 凭证 ) 安全 环境 (例如 OSF/DCE 和 Kerberos ) 用 来 保存 安全 信息 的 一 个 安 
全 令 牌 。 、 

cron ( 时 钟 守护 程序 ) ”一 个 处 理 调度 程序 ， 是 UNIX 操 作 系统 上 的 标准 功能 。 

daemon ( 守护 程序 ) 一 个 后 台 运 行 并 且 等 待 请 求 以 执行 任务 的 UNIX 程 序 。 

Data classification ( 数据 分 类 ) 根据 信息 的 敏感 程度 对 信息 进行 标 类 。 数 据 分 类 用 来 
保证 实现 正确 的 控制 以 保护 敏感 信息 。 

Data Custodian ( 数据 保管 员 ) 一 个 负责 保护 公司 信息 资源 的 保管 人 。 

Data Encryption ( 数据 加 密 ) 一 种 信息 保护 方法 。 加 密 后 ， 实际 数据 被 打 乱 ， 阅 读者 
只 有 使 用 一 个 特殊 的 密 钥 才能 阅读 加 密 过 的 数据 。 

Data Guardian ( 数据 管理 者 ) 负责 保护 公司 信息 资源 的 个 体 。 

Data Owner ( 数据 拥有 者 ) 创建 一 个 信息 资源 或 者 被 给 与 一 个 信息 资源 的 拥有 关系 的 
个 体 。 

Data WareHouse ( 数据 仓库 ) 面向 主体 的 、 集 成 的 、 易 变 的 、 永久 的 数据 集合 ， 主 要 
用 来 支持 组 织 决策 。 

DB Groups ( DB 组 ) 组 是 由 具有 同一 套数 据 库 访问 特权 的 用 户 所 组 成 的 集合 。 

DCE “分 布 式 计 算 环 境 ( Distributed computing environment )， 一 个 基于 远程 过 程 调用 的 
综合 中 间 件 环境 ， 它 允许 开发 安全 的 、 客 户 机 -服务 器 应 用 程序 。 

DCE Cell ( DCE 单 元 ) 包括 DCE 客 户 机 和 DCE 服 务 器 的 管理 域 。 

Debit Card ( 借 卡 ) 标识 卡 ， 用 于 辅助 金融 事务 (通常 是 资金 转移 ) 的 直接 访问 和 操 
作 。 

Delegation of Authority ( 权力 委托 ) ”转移 部 分 高 级 特权 ， 转移 的 特权 受到 时 间 和 功能 
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的 限制 

Denial of Service ( 拒绝 服务 ) 一 种 攻击 类 型 ， 试 图 拒绝 合法 用 户 访问 公司 计算 资源 。 

DES 数据 加 密 标准 (Data encryption standard )，IBM 开 发 的 一 种 私有 密 钥 加 密 技 术 。 

detection ( 监测 ) 一 个 计算 机 系统 、 应 用 程序 或 者 组 织 发 现 其 资源 被 未 经 授权 使 用 的 能 
力 。 

Device File ( 设备 文件 ) 一 种 特殊 类 型 的 UNIX 文 件 ， 这 种 文件 描述 了 一 个 物理 设备 ， 
例如 磁盘 驱动 器 、 磁 带 或 者 系统 内 存 。 

Diagnostic Attack ( 诊断 攻击 ) 使 用 网 络 诊断 工具 来 获得 非法 访问 的 一 种 黑客 技术 。 

回 拨 ( Dialback ) “一 种 用 于 调制 解 调 器 用 户 的 认证 技术 一 一 中 断 通话 并 使 用 一 个 预定 义 
的 电话 号 码 回 拨 用 户 。 

Digital Signture ( 数字 签名 ) 追加 到 一 条 消息 后 的 数据 块 ; 使 用 数字 签名 ， 消 息 的 接受 
方 可 以 验证 消息 的 内 容 和 发 送 者 。 

Directory ( 目录 ) 一 种 包含 其 他 文件 或 目录 名 字 和 位 置 的 特殊 文件 。 目 录 为 组 织 信息 提 
供 了 一 个 方便 方法 。 

Directory Service ( 目录 服务 ) 用 来 定位 资源 的 DCE 服 务 。 

Distributed Database ( 分 布 式 数据 库 ) ”数据 和 逻辑 被 分 布 到 多 个 计算 机 系统 上 的 数据 
库 。 这 些 系统 是 通过 网 络 互相 连接 的 。 | 

Distributed Computing ( 分 布 式 计算 ) 一 种 计算 类 型 。 在 分 布 式 计算 中 ， 计 算 控 制 、 逻 
辑 以 及 处 理会 在 大 量 单独 的 计算 机 ( 通过 网 络 互相 连接 ) 上 进行 。 

Distributed File Service ( 分 布 式 文件 服务 ) DCE 用 来 管理 分 布 式 文件 的 一 种 服务 。 

Distributed Systems ( 分 布 式 系统 ) 通过 一 个 网 络 进行 通信 并 且 共 享 资源 和 处 理 的 多 个 
计算 机 系统 和 应 用 程序 。 

DNS 域名 系统 ( Domain name system )， 一 个 用 来 解析 系统 名 字 和 IP 地 址 的 网 络 工具 。 

DSS ”数字 签名 标准 (digital sinature standard )， 美国 政府 提供 的 一 种 用 于 数字 签名 的 标 
准 。 

Dual Homed Bastion Host ( 双 穴 桥头 堡 主机 ) ”用 来 过 滤 网 络 流量 的 双 LAN 卡 桥头 堡 主 
机 ， 其 中 一 块 LAN 卡 连接 到 不 可 信 网 络 上 ， 而 另 一 块 连接 到 可 信 网 络 上 。 

durability ( 持久 性 ) 系统 长 时 间 运 行 并 且 性 能 不 受 影响 的 能 力 。 

EUID 有 效用 户 ID ， 当 前 执行 程序 拥有 者 的 用 户 ID。UNIX 用 户 ID (UID ) 是 登录 时 所 用 
的 用 户 ID。 

Eliectronic Data lnterchange ( 电子 数据 交换 ) 一 个 用 于 传递 组 织 间 业务 事务 的 标准 。 

Electronic Commerce ( 电子 商务 ) 通过 电子 媒介 ( 例如 因特网 ) 进行 的 业务 文档 交 
换 。 . 

encapsulation ( 封装 ) 把 数据 和 用 于 操作 数据 的 程序 打包 在 一 起 形成 一 个 可 标识 的 实 
体 的 技术 ， 主 要 用 在 面向 对 象 处 理 中 。 

encryption ( 加 密 ) 通过 一 个 算法 处 理 和 某 种 形式 的 保密 密 钥 ， 把 信 息 打 瑟 成 不 可 理解 
的 格式 ; 使 用 逆反 过 程 ， 加 密 过 的 信息 可 以 还 原 成 可 以 理解 的 格式 。 

encryption Algorithm ( 加 密 算 法 ) 用 来 把 信息 转化 成 不 可 理解 的 格式 的 尖 ， 它 需 要 
使 用 一 个 密 钥 。 
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File access permission ( 文件 访问 权限 ) ”用 于 确定 是 否 授予 对 一 个 文件 或 者 目录 的 访 
问 权 的 一 套 标志 。 

File System ( 文件 系统 ) 文件 和 目录 在 计算 机 磁盘 、CD-ROM 或 者 磁带 上 的 组 织 。 

Filtering Router ( 过 滤 路 由 器 ) 能 够 进行 包 过 滤 的 路 由 器 。 

Firewall ( 防火 墙 ) ”对 可 信 网 络 和 不 可 信 网 络 之 间 的 流量 进行 限制 的 一 个 计算 机 系统 或 
者 网 络 设备 。 - 

FTP 文件 传输 协议 (File transfer protocol )， 一 种 允许 在 系统 间 传 输 文件 的 TCP/IP 服 务 。 

gecos UNIX 密 码 文 件 中 的 一 个 字段 ， 用 于 存储 用 户 信 息 。 

GUEST Account ( GUEST 账号 ) NOS 系 统 上 为 临时 用 户 所 用 的 账号 ， 一 般 没 有 密码 。 

group ( 组 ) 多 个 用 户 所 组 成 的 一 个 逻辑 联合 体 ， 这 些 用 户 的 访问 权限 是 建立 在 他 们 在 
组 中 的 成 员 关系 的 基础 上 的 。 

groupware ( 群 件 ) 该 术语 用 来 描述 那些 用 来 支持 部 门 或 者 组 织 对 共享 信息 需要 的 软 
件 。 

GUI 图 形 用 户 界面 (Graphical user interface )。 

GSSAPI 通用 服务 应 用 编程 接口 ( Generic security service application programming 
interface )， 一 个 用 于 安全 性 编程 接口 的 标准 。 

guideline ( 指导 原则 ) 用 于 计算 环境 的 最 佳 安全 实践 的 建议 。 

heterogeneous ( 异 构 ) 在 计算 机 术语 中 ， 异 构 环境 指 的 是 由 许多 不 同 技术 构成 的 一 个 
混合 环境 。 

High Level Privilege ( 高 级 特权 ) 只 授予 给 系统 的 最 可 信用 户 ( 例如 系统 或 者 数据 库 管 
理 员 ) 的 权限 。 

Home Directory ( 主 目录 ) 用 户 登 录 后 所 进入 的 默认 目录 。 

Host Equivalency ( 主机 等 效 性 ) 描述 如 下 情况 的 一 种 关系 ， 一 个 系统 信任 另 一 个 系统 ， 
并 且 不 需要 程序 的 用 户 在 获得 资源 访问 权 前 先 认 证 自己 。 

HTML ” 超 文本 标记 语言 (Hypertext markup language )， 用 来 描述 WWW 文 档 组 件 的 语 


ml 


HTTP 超 文 本 传输 协议 (Hypertext transfer protocol )， 客 户 机 同 WWW 服 务 器 之 间 使 用 
的 标准 通信 协议 。 
ICMP 因特网 控制 报 文 协议 (Internet Controlt Message Protocol )， 用 于 监视 和 控制 IP 网 
络 的 IP 协 议 。 
identification ( 标识 符 ) “确定 计算 机 用 户 身份 的 一 种 方法 〈 例如 用 户 ID )， 一 般 是 一 个 
认证 过 程 的 结果 。 
Information Warfare { 信息 竞争 ) 一 种 竞争 形式 ， 其 目的 在 于 挫 般 或 者 废除 敌 方 的 计算 
资源 。 ， 
Integrity ( 完整 性 ) 防止 计算 环境 被 未 经 授权 修改 的 能 力 。 
Integrity Check ( 完整 性 检查 ) 检查 一 个 计算 环境 是 否 被 未 经 授权 修改 的 工具 或 者 任 
务 。 
IPv6 因特网 协议 的 新 提议 版 本 。 比 较 现 有 的 了 ?协议 ， 它 有 了 重大 的 安全 改进 。 
IP Forwarding Attack ( IP 转 发 攻击 ) 一 种 试图 把 TCP/IP 包 发 送 到 受 保护 网 络 中 的 黑客 
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技术 。 

ISQL ”交互 式 SQL ( Interactive SQL )， 人 允许 用 户 使 用 标准 SQL 命令 直接 查询 一 个 关系 型 
数据 库 的 工具 。 

JAVA Sun 公 司 开 发 的 一 种 独立 于 平台 的 编程 语言 。 

LAN 本 地 网 络 。 

LEAF Access ( LEAF 访 问 ) ”法律 实施 访问 字段 (law enforcement access field，LEAF ) 
是 加 密 芯 片 系统 中 的 一 个 特殊 部 分 。 它 允许 法 律 实施 机 构 访 问 加 密 过 的 数据 一 一 如 果 机 构 被 
授权 了 。 

Leakage ( 泄漏 ) 公司 防火 墙 或 者 路 由 器 不 小 心 把 可 信 网 络 的 信息 泄漏 给 不 可 信和 网络 。 

LSA 本 地 安全 管理 中 心 (Local security authority ) ,运行 在 Windows NT 系统 上 的 一 个 安 
全 子 系统 。 

Location Based Authentication ( 基于 位 置 的 认证 ) 根据 对 请 求 认证 设备 所 预期 的 准确 
位 置 进 行 的 认证 。 

Login ( 登录 ) 获得 对 计算 系统 或 者 网 络 进行 直接 访问 的 过 程 。 

Mandatory Access Control ( 强制 访问 控制 ) 一 种 安全 控制 ， 例 如 敏感 性 标签 ， 用 户 不 
能 关闭 或 者 删除 它 。 

Message Digest ( 消息 摘要 ) 一 种 加 密 过 的 消息 算法 表示 ， 它 附加 在 消息 后 面 以 便 进 
行 完 整 性 检查 。 

Middleware ( 中 间 件 ) 一 个 软件 层 ， 它 在 应 用 程序 、 数 据 以 及 操作 系统 之 间 提 供 一 个 公 
共 接 口 和 转化 。 

mount ( 挂 接 ) 在 UNIX 中 对 一 个 远程 或 者 本 地 文件 系统 获得 访问 的 过 程 。 

Mutual Authentication ( 互相 认证 ) 一 种 认证 形式 ， 其 中 参与 双方 互相 认证 对 方 ， 通 党 
通过 一 个 可 信 的 第 三 方 。 

NIS 网 络 信 息 服 务 (Network information service )， Sun 微 系统 公司 开发 的 一 种 UNIX 网 络 
服务 ， 它 允许 关键 UNIX 管 理 文件 在 系统 间 保 持 同步 。 

NOS 网 络 操 作 系 统 (Network operating system )， 对 向 LAN 用 户 提供 磁盘 、 目 录 和 打印 
共享 服务 的 网 络 环境 的 总 称 。 

NFS “网络 文件 系统 (Network file system )，UNIX 和 DOS 系 统 用 来 共享 磁盘 资源 的 一 种 
工具 ,由 Sun 微 系统 公司 开发 。 

nonrepudiation { 认可 ) 对 消息 发 送 者 和 信息 内 容 进行 认证 的 能 力 。 

NT Domain ( NT 域 ) 一 组 位 于 公共 管理 操作 下 的 Windows NT 系统 。 

NTFS_NT 文 件 系统 (NT File System )，Windows NT 系统 使 用 的 固有 文件 系统 。 

OLTP ”联机 事务 处 理 (On line transaction processing )， 事务 发 生 时 用 于 事务 处 理 的 系统 
或 者 过 程 。 

One Time Password ( 一 次 性 密码 ) 由 一 个 特殊 算法 所 生成 的 密码 ， 永 远 不 会 重用 。 

OMG “对 象 管理 组 (Object Management Group )， 由 100 多 个 厂商 组 成 的 一 个 标准 联盟 ， 
致力 于 解决 面向 对 象 环 境 的 互 操 作 性 和 可 移植 性 。 

Orange Book ( 桔 皮 书 ) 参见 TCSEC。 

OSF/DCE 开放 软件 基金 会 ( Open Software Foundation ) 的 分 布 式 计算 环境 
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(Distributed Computing Enviroment )。 

owner ( 拥有 者 ) 资源 的 拥有 者 通常 是 资源 的 建立 者 。 

Packet Filtering ( 分 组 过 滤 ) ”根据 流量 类 型 、 源 下 地 址 和 目标 耻 地 址 、 端 口 或 者 其 他 信 
息 ， 对 TCP/IP 流 量 进行 限制 。 

Packet Monitoring ( 包 监 视 ) 主动 监视 网 络 上 的 流量 。 黑 客 使 用 这 种 方法 来 发 现 密码 和 
其 他 敏感 信息 。 

password ( 密码 ) 一 个 保密 的 单词 、 短 语 、 数 文 混合 字符 串 或 者 击 键 组 合 ， 用 于 认证 。 

Password Aging ( 密码 时 效 ) 一 种 用 来 强制 用 户 改变 密码 的 机 制 。 

Password Cracking ( 密码 破解 ) ”一 种 发 现 密码 的 方法 。 把 字典 中 的 每 一 条 都 输入 到 一 
个 密码 算法 中 ， 并 把 结果 同 加 密 过 的 密码 字符 串 逐 一 进行 比较 ， 如 果 二 者 匹配 ， 那 么 密码 就 
破解 了 。 

Password Generator ( 密码 生成 器 ) 一 个 计算 设备 或 者 软件 程序 ， 可 以 产生 惟一 的 和 
不 可 破解 ( 腑 测 ) 的 密码 字符 串 。 

Password Guessing ( 密码 猜测 ) 一 种 用 来 获得 对 一 个 计算 机 或 者 网 络 设备 进行 未 经 授 
权 访 问 的 方法 一 一 逐一 猜测 用 户 账 号 的 密码 。 

Password Policy ( 密码 策略 ) 规定 密码 的 组 成 、 时 效 性 以 及 其 他 方面 的 策略 。 

PATH Variable ( PATH 变量 ) 一 个 环境 变量 ， 用 于 告诉 操作 系统 应 该 在 什么 目录 下 查找 
命令 文件 。 

PEM 保密 增强 邮件 ( Privacy enhanced mail )。 这 是 一 个 因特网 标准 草案 ， 它 定义 了 消 
息 加 密 和 认证 过 程 ， 从 而 在 因特网 上 提供 了 安全 邮件 功能 。 

PGP 良好 保密 (Pretty good privacy )。Philip Zimmerman 在 RSA 加 密 算法 的 基础 上 开发 
的 一 个 加 密 方 案 。 

performance ( 性 能 ) 计算 环境 及 时 执行 所 需 操作 的 能 力 。 

Physical Access ( 物理 访问 ) ”直接 同 计算 机 系统 交互 的 能 力 (例如 直接 访问 系统 控制 
台 、 磁 盘 驱动 器 、CPU 等 )。 

PIN “个 人 标识 号 (Personal Identification Number )。 这 是 一 个 独立 的 数字 ， 用 做 认证 过 
程 的 一 部 分 。 

principal ( 负责 者 ) ”在 PCE 术 语 中 ， 负责 者 是 其 重要 性 可 以 保证 认证 的 任何 实体 。 负 责 
者 可 以 是 人 、 计 算 机 、DCE 单 元 或 者 应 用 程序 。 

principle ( 原则 ) 对 那些 为 组 织 提供 一 个 基本 基础 的 价值 、 信 念 或 者 思想 的 陈述 。 

Private Key Encryption ( 私有 密 钥 加 密 ) 也 称 共享 的 保密 密 钥 ， 指 的 是 一 种 加 密 算法 ， 
在 这 种 算法 中 ， 一 个 或 多 个 实体 ( 通常 是 一 个 用 户 和 计算 系统 ) 共享 一 个 密码 (例如 一 个 私 
有 密 钥 )。 这 种 方法 主要 用 于 认证 ， 它 也 广泛 用 于 保护 敏感 数据 。 

procedure ( 过 程 ) 从 计算 安全 策略 者 ， 过 程 是 用 来 为 一 个 特定 的 计算 或 者 网 络 环境 制 
定 计算 策略 的 实际 方法 。 

process ( 进程 ) 一 个 环境 ， 程 序 在 其 中 执行 。 

Proxy Service ( 代理 服务 ) 一 个 代表 用 户 执行 任务 的 因特网 服务 。 使 用 代理 服务 通常 
要 比 允 许 用 户 直接 访问 因特网 安全 。 

PUBLIC Account ( PUBLIC 账 号 ) ”NOS 系统 上 的 一 个 账号 ， 网 络 上 的 任何 用 户 都 可 以 
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访问 该 账号 。 该 账号 一 般 没 有 密码 。 

Pubiic Key Encryption ( 公开 密 钥 加 密 ) 一 种 加 密 算法 。 在 这 种 算法 中 ， 生 成 两 个 在 数 
学 上 有 关联 的 密 钥 : 其 中 ， 一 个 密 钥 是 私有 的 ， 只 有 用 户 知 道 ; 另 一 个 密 钥 是 公开 的 ， 它 可 
以 被 可 信用 户 或 者 公众 共享 。 这 两 个 密 钥 可 以 用 来 加 密 和 解密 信息 ， 并 提供 标识 。 

reboot ( 重新 启动 ) ”把 一 个 计算 机 系统 从 运行 状态 一 一 变 成 停止 状态 一 一 再 回 到 运行 状 
态 的 过 程 。 

Remote Access { 远程 访问 ) 通常 指 的 是 使 用 调制 解 调 器 在 电话 线路 上 同一 台 计 算 机 或 
者 网 络 进行 通信 的 能 力 。 

RAS 远程 访问 服务 ( Remote access service ) 一 一 一 个 Windows NT 服务 ， 它 通过 调制 解 
调 器 与 用 户 通信 。 它 具有 用 户 认 证 和 回 拨 功 能 。 

Remote Execution Facility ( 远程 执行 工具 ) ”一 个 允许 命令 远程 执行 但 不 需要 用 户 登录 
的 TCP/IP 网 络 服务 。 

Remote Procedure Call ( 远程 过 程 调用 ) 一 种 客户 机 -服务 器 通信 方法 。 

Risk ( 风险 ) 在 计算 安全 术语 中 ， 风 险 指 的 是 一 个 安全 暴露 。 根 据 上 下 文 ， 它 也 可 以 指 
发 生 安 全 问题 的 可 能 性 。 

Risk Analysis ( 风险 分 析 ) 用 常规 话说 ， 风险 分 析 指 的 是 在 一 个 暴露 ( 例如 风险 ) 的 危 
害 性 与 它 所 发 生 的 可 能 性 之 间 达 成 平衡 。 安 全 专业 人 员 和 审计 人 员 也 使 用 风险 分 析 来 指出 对 
安全 控制 的 主动 测试 。 

Risk Assessment ( 风险 评估 ) ”也 称 风险 分 析 。 风 险 评 估 需 要 对 控制 的 正确 性 和 实用 性 
进行 分 析 。 

Role ( 角色 ) 很 多 数据 库 允许 根据 任务 功能 指定 访问 ,这 种 能 力 称 做 角色 。 

Role Based Security ( 基于 角色 的 安全 性 ) 一 套 在 组 织 或 者 实体 中 定义 的 角色 或 者 位 
置 的 安全 属性 。 

root ( 根 ) UNIX 系 统 上 的 一 个 具有 高 级 特权 的 默认 用 户 。Root 也 用 来 指 最 高 级 目录 
( 根 目录 或 者 /)。 

Routing Attack ( 路 由 攻击 ) 一 种 使 用 也 源 路 由 选项 把 包 路 由 到 一 个 目标 地 址 ( 包 在 这 
里 可 以 操纵 ) 的 黑客 技术 。 

Rule Based Security ( 基于 规则 的 安全 性 ) 一 套 安全 属性 <Glen>。 

SATAN ”用 于 审计 网 络 的 安全 管理 工具 ( Security administrators tool for auditing 
network )。 这 是 由 Dan Farmer 开 发 的 一 个 捐赠 的 安全 监视 器 ， 它 可 以 监测 TCP/IP 网 络 服务 的 
脆弱 性 。 

SDLC 同步 数据 链 路 控制 (Synchronous data link control )， 一 个 用 于 IBM 系 统 网 络 体系 
结构 的 通信 协议 。 

S-HTTP 安全 超 文本 传输 协议 ( Security Hybertext transfer protocol )， 对 HTTP 协 议 的 一 
个 扩展 ， 它 提供 了 加 密 和 验证 功能 。 

Screened Subnet ( 屏蔽 子 网 ) 受过 滤 路 由 器 或 者 其 他 网 络 设备 保护 的 一 个 网 络 - 

Secure RFC ( 安全 RPC ) ”SUN 微 系统 公司 开发 的 一 种 基于 RPC 的 通信 方法 ， 它 具有 安 
全 认证 和 数据 保护 机 制 。 

SSL ”安全 套 接 字 层 (secure socket layer )， 客户 机 和 服务 器 之 间 用 于 认证 和 加 密 的 一 种 
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协议 。 

Security Access Mechanism ( 安全 访问 机 制 ，SAM ) ”用 于 Windows NT 域 的 安全 管理 
中 心 。 

SDLC 系统 开发 生命 周期 ( Systerm Development Life Cycle )。 一 种 用 于 开发 计算 应 用 的 
方法 ， 由 6 个 阶段 组 成 。 

Security Advisories [ 安全 忠告 ) 通常 通过 电子 邮件 发 布 的 安全 信息 ， 其 作用 是 把 安全 
问题 及 其 相关 解决 通告 给 计算 群体 。 安 全 忠告 可 以 从 CERT 处 获得 ， 也 可 以 直接 从 许多 厂商 处 
获得 。 

Security Criteria ( 安全 标准 ) 一 套 被 认可 的 安全 属性 集合 ， 它 构成 了 用 于 测量 和 分 析 
安全 功能 的 一 套 规范 。 

Security Descriptor 安全 描述 符 ) Windows NT 系统 上 的 每 个 资源 都 有 一 个 安全 描述 符 ， 
该 描述 符 包含 了 有 关 拥 有 者 的 信息 和 访问 控制 单 。 

Security Policy ( 安全 策略 ) 一 套 经 过 管理 部 门 批准 的 正式 指导 ， 它 为 组 织 提 供 了 对 计 
算 安 全 之 各 个 方面 的 指导 。 

Security Service ( 安全 服务 】 向 DCE 提 供 安全 服务 ， 包括 认证 和 密码 管理 。 

Security Token ( 安全 令 牌 】 一 个 包含 安全 信息 的 设备 或 者 文件 ， 通 常 受到 加 密 保护 。 

Self Assessment ( 自 评估 ) 系统 管理 员 、 用 户 部 门 或 者 任何 非 独 立 实体 进行 的 一 次 审 
计 。 自 评估 通常 是 在 真正 的 审计 开始 之 前 进行 。 

Sensitive Information ( 敏感 信息 ) ”如 果 一 个 信息 被 未 经 授权 的 泄漏 ， 它 就 会 导致 一 次 
重大 的 财政 损失 、 困 难 或 者 带 来 其 他 负面 效应 ， 那 么 该 信息 就 是 敏感 信息 。 

Sensitivity Labels ( 敏感 性 标签 ) 把 分 类 标题 (例如 凭证 或 者 保密 排行 ) 应 用 到 文件 、 
目录 以 及 其 他 计算 资源 上 的 一 种 方法 。 

server ( 服务 器 ) 当 其 他 系统 或 者 客户 机 发 来 请 求 时 执行 服务 的 计算 系统 。 

SET ”安全 电子 事务 (secure electronic transaction )， 一 个 用 于 电子 商务 事务 的 安全 通信 
和 执行 的 消息 标准 。 

Set User ID Bit ( 设置 用 户 ID 位 ) 在 文件 的 拥有 者 授权 而 不 是 调用 者 的 授权 下 执行 的 一 
个 可 执行 的 UNIX 文 件 〈 或 者 程序 )。 

Sequencing Attack ( 序列 攻击 ) 一 种 黑客 技术 ( 也 称 做 欺骗 攻击 一 一 hijacking )， 它 使 
用 TCP/IP 序 号 的 知识 截获 已 建立 的 TCP/IP 通 信 中 的 流量 ， 并 在 其 中 插 人 伪造 流量 。 

Single Sign-on ( 单一 登录 ) 一 个 用 户 一 次 并 且 也 只 有 一 次 执行 访问 全 部 所 需 网 络 和 计 
算 资 源 的 认证 过 程 的 能 力 。 

Single-User Mode ( 单 用 户 模式 ) 一 种 特殊 的 UNIX 操 作 系统 级 别 ， 主 要 用 于 诊断 。 在 
许多 UNIX 版 本 中 ， 使 用 该 模式 可 以 无 限制 地 访问 系统 。 

Smart Card ( 智能 卡 ) 内 嵌 有 用 来 存储 数据 或 者 执行 程序 代码 的 微型 芯片 的 卡 。 

SMTP 简单 邮件 传输 协议 (Simple Mail Transport Protocol )， 一 个 用 于 电子 邮件 应 用 程 
序 的 协议 ， 在 使 用 UNIX 操 作 系统 的 系统 上 非常 流行 。 

SNA 系统 网 络 体 系 结构 ( System network architecture )，IBM 开 发 的 一 种 连 网 体系 结构 。 

SNMP ”简单 网 络 管理 协议 (simple network management protocol ), 一 个 用 来 管理 网 络 
设备 和 计算 系统 的 标准 协议 。 
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socket ( 套 接 字 ) 下 地 址 和 端口 号 的 结合 体 。 

spoof ( 欺骗 程序 ) ”伪装 成 一 个 合法 程序 一 一 但 却 进行 非法 行为 的 程序 ， 也 称 做 特洛伊 
木马 。 

spoofing ( 欺骗 ) ”一 种 黑客 技术 ， 使 用 一 个 伪造 的 网 络 地 址 来 获得 对 网 络 或 者 系统 的 非 
法 访问 权 。 

SQL 结构 化 查询 语言 (Structured query language )， 用 于 管理 和 报告 数据 库 信息 和 结构 
的 一 套 标 准 命令 。 

Stored Procedure ( 存储 过 程 ) 一 套 预 定义 的 SQL 语句 。 

subnet ( 子 网 ) 一 个 LAN 段 。 

superuser ( 超级 用 户 ) UNIX 系统 管理 员 。 该 用 户 的 真实 或 有 效用 户 ID 为 0， 并 且 具 有 
高 级 访问 特权 。 

SUPERVISIOR NOS 系 统 上 的 一 个 特殊 账号 ， 它 提供 了 一 套 完整 的 特权 。 

system ( 系统 ) 一 台 计 算 机 。 

System Classitication ( 系统 分 类 ) 根据 系统 所 处 理 的 或 者 所 保存 的 信息 组 织 的 安全 性 ， 
对 系统 进行 标 类 。 一 个 工资 应 用 的 系统 可 以 同时 划分 为 关键 型 和 机 密 型 。 

TCP 传输 控制 协议 〈 Transport control protocol )。 TCP 是 一 个 高 级 IP 协 议 ， 它 具有 序号 
和 其 他 传输 完整 性 控制 。 

TCP/IP 对 基于 因特网 协议 (JP ) 的 连 网 协议 的 服务 族 的 统称 。 

TCSEC “可 信 计 算 机 系统 评估 标准 (Trusted computer system evaluaiton criteria )。 
TCSEC 是 美国 国防 部 为 评估 操作 系统 中 的 计算 安全 性 而 开发 的 一 种 方法 ， 它 也 称 做 桔 皮 书 。 
该 系列 的 其 他 书 还 包括 用 于 用 于 审计 的 褐 皮 书 和 用 于 密码 管理 的 绿 皮 书 。 

Technology Envy ( 技术 嫉妒 】 对 成 为 技术 领导 的 渴望 。 

TELNET ”一 个 标准 的 因特网 服务 ， 它 允许 用 户 使 用 终端 并 通过 网 络 访问 一 台 远 程 计 算 
机 。 

TFTP ”普通 文件 传输 协议 (trivial file transfer protocol ), 一 个 用 于 下 载 信息 的 文件 传输 
程序 。 

Tiger Team ( 飞 虎 队 ) 安全 事故 响应 小 组 。 

Timing Service ( 定时 服务 ) 用 来 在 分 布 式 系统 之 间 同 步 时 钟 的 一 个 DCE 服 务 。 

Token Based Authentication ( 基于 令 牌 的 认证 ) ”如 果 用 户 具有 一 个 惟一 的 物理 卡 或 者 
设备 (这 是 认证 过 程 的 一 个 组 件 )， 那 么 用 户 就 通过 认证 。 

TP Monitor ( TP 监视 器 ) 一 个 程序 一 一 当 事 务 提供 给 该 程序 的 时 候 ， 该 程序 就 控制 和 
执行 事务 。 

transaction ( 事务 ) 一 套 操作 和 集合， 这 些 操作 组 成 了 一 个 完整 的 工作 单元 。 该 工作 单元 
的 执行 必须 要 满足 ACID 事务 属性 。 

trigger ( 触发 器 ) 由 一 个 预定 义 的 事件 所 触发 的 数据 库存 储 过 程 。 

tripwire Gene Kim 和 Gene Spafford 开 发 的 一 个 捐赠 软件 工具 ， 它 检查 操作 系统 和 应 用 程 
序数 据 文件 和 程序 中 的 未 经 授权 修改 。 

Trojan horse ( 特洛伊 木马 ) 一 个 看 起 来 工作 正常 ， 但 却 会 进行 未 经 授权 动作 的 计算 机 
程序 。 
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trust { 信任 ) ”安全 性 、 可 用 性 以 及 性 能 的 综合 体 ， 即 在 保证 完整 性 的 情况 下 执行 程序 、 
保持 机 密 信 息 的 保密 性 、 连 续 运行 以 提供 所 需 功 能 。 

Two-Phase Commit ( 两 阶段 提交 ) ” 当 所 有 必需 的 过 程 都 成 功 完成 以 后 ， 才 提交 数据 库 
更 新 。 

UDP 用户 数据 报 协 议 ( user datagram protocol )。UDP 是 一 个 更 高 层 IP 协 议 ， 它 只 有 有 
限 的 完整 性 检查 。 

URL 统一 资源 定位 符 〈( Uniform resource locator )， 标 识 可 在 WWW 上 访问 的 文档 、 图 像 
或 者 其 他 存储 资源 的 一 个 惟一 地 址 。 

User ID ( 用 户 ID ) 用 来 标识 计算 机 用 户 的 指定 名 或 者 缩写 。 

User Profile ( 用 户 轮廓 ) 包含 关于 用 户 登录 和 安全 信息 的 文件 。 

UUCP UNIX 到 UNIX 拷 贝 ， 一 个 允许 UNIX 系 统 间 通信 的 UNIX 连 网 服务 。 

virus ( 病毒 ) 一 种 感染 计算 机 的 特洛伊 木马 程序 ， 它 们 以 多 种 方式 让 计算 机 失去 完整 
性 。 

VPN 虚拟 专用 网 ( Vitual Private Network )， 一 种 对 可 信和 网 络 之 间 的 流量 进行 加 密 和 保 
护 的 技术 。 

VTAM ”虚拟 远程 通信 接 人 方法 ( Vitual telecommunication access method )， 一 个 用 来 控 
制 网 络 的 IJBM 产 品 。 

Vulnerability Test ( 脆弱 性 测试 ) 对 安全 控制 的 主动 测试 ， 意 在 发 现 安全 脆弱 性 和 暴露 
问题 

Web Browser ( 浏览 器 ) 一 个 用 于 在 WWW 上 访问 文档 的 软件 产品 。 

X.400 国际 标准 化 组 织 维护 的 一 个 标准 ， 用 于 消息 存储 和 转发 。 

X.509 Certificate ( X.509 证 书 ) 符合 X.509 认 证 框架 标准 的 证 书 。 

XBSS X/Open 基准 安全 服务 ( baseline security service )， X/Open 组 织 定义 的 一 套 安全 标 
准 。 

X/Windows UNIX 所 使 用 的 窗口 系统 。 


